Descubren 1300 apps Android que robaban datos a¨²n con permisos denegados

Cuando instalamos una app, lo primero que nos sale antes de empezar son los permisos que debemos aceptar. Hay aplicaciones muy transparentes en este apartado, y otras que no tanto, y no s¨®lo tienen acceso al micr¨®fono, sino que como este estudio del a?o pasado de la Northeastern University demostr¨®, tambi¨¦n pueden activar la c¨¢mara del m¨®vil para sacar fotos, grabar v¨ªdeos, y como el esc¨¢ndalo sufrido con la app de LaLiga, usar el GPS del tel¨¦fono para saber d¨®nde est¨¢s exactamente.

Negar permisos a una app

Entonces, si les negamos los permisos a una aplicaci¨®n, ¨¦sta en teor¨ªa no puede acceder a las zonas del terminal y el sistema operativo a las que le hemos dicho que ¡®no¡¯. Recalcamos lo de en teor¨ªa, porque se ha descubierto que no es as¨ª, al menos en Android. Seg¨²n la web CNET, un estudio presentado por el ICSI (International Computer Science Institute) el mes pasado en el evento PrivacyCon, ha revelado que actualmente hay m¨¢s de 1 000 aplicaciones Android que se saltan las limitaciones impuestas al negarles los permisos de acceso durante su instalaci¨®n.

En el informe se distinguen dos t¨¦cnicas diferentes a la hora de circunvenir la seguridad de un permiso denegado:

- Canales Paralelos: Esta t¨¦cnica trata de obtener acceso a una informaci¨®n en particular de una manera que no est¨¢ cubierta por el mecanismo de seguridad. Como ejemplo tenemos las apps capaces de rastrear la localizaci¨®n de un dispositivo usando la direcci¨®n MAC de este, algo que Android Pie se encarg¨® de atajar al introducir la aleatorizaci¨®n de las direcciones MAC.

- Canales Cubiertos: Esta t¨¦cnica usa dos servicios que cooperan para enviar datos del servicio que s¨ª tiene un acceso v¨¢lido al servicio que no lo tiene. Como ejemplo, una aplicaci¨®n a la que le han concedido el permiso de acceder a la localizaci¨®n de un dispositivo podr¨ªa compartir ese dato de posicionamiento con una app a la que le han denegado ese mismo permiso.

M¨¢s de 1 300 apps

El informe ICSI analiza 88 133 de las aplicaciones m¨¢s populares de Android de la Google Play Store de Estados Unidos, descubriendo que m¨¢s de 1 300 apps que, al negarles los permisos que nos exigen al ser instaladas, hacen uso de las t¨¦cnicas de canales paralelos o canales cubiertos para saltarse la seguridad de Android. El listado completo no se conocer¨¢ hasta la Usenix Security Conference del pr¨®ximo agosto, aunque el ICSI ya ha contactado con Google.

De hecho, el informe fue enviado a Google antes de hacerlo p¨²blico. Y lo ¨²nico que el gigante de la Red ha dicho es que los cambios en la seguridad y privacidad que ha introducido en el pr¨®ximo Android 10 Q se encargar¨¢n de solventar estos fallos de seguridad. Eso s¨ª, si tienes un m¨®vil que corre bajo Android 9 Pie o anterior, Google b¨¢sicamente no puede hacer nada por evitar que se sigan colando estas apps. Pues menudo consuelo¡­