Google limita qué aplicaciones pueden acceder a la lista de aplicaciones instaladas en su dispositivo

Las aplicaciones en Android han podido inferir la presencia de aplicaciones específicas o incluso recopilar la lista completa de aplicaciones instaladas en el dispositivo. Además, una aplicación también puede configurarse para recibir una notificación cuando se instala una nueva.

Además de todas las preocupaciones habituales sobre el uso indebido de dicha captura de datos, una aplicación potencialmente dañina puede abusar de la información para tomar huellas dactilares de otras aplicaciones instaladas, verificar la presencia de antivirus, fraude de afiliados e incluso anuncios dirigidos.

En 2014, Twitter comenzó a rastrear la lista de aplicaciones instaladas en los dispositivos de los usuarios como parte de su iniciativa de «gráfico de aplicaciones» con el objetivo de ofrecer contenido personalizado. La compañía de billeteras digitales MobiKwik también fue sorprendida recopilando información sobre las aplicaciones instaladas a raíz de una violación de datos que salió a la luz a principios de esta semana.

De hecho, un estudio realizado por un grupo de investigadores suizos en 2019 descubrió que «es más probable que las aplicaciones gratuitas soliciten dicha información y que las bibliotecas de terceros (libs) son los principales solicitantes de la lista de aplicaciones instaladas».

«Como los usuarios tienen un promedio de 80 aplicaciones instaladas en sus teléfonos, la mayoría de ellas gratuitas, existe una alta probabilidad de que terceros no confiables obtengan la lista de aplicaciones instaladas», agregaron los investigadores.

Otro estudio académico publicado en marzo de 2020 también encontró que 4214 aplicaciones de Google Play acumularon sigilosamente una lista de todas las demás aplicaciones instaladas, lo que permitió a los desarrolladores y anunciantes crear perfiles detallados de los usuarios. Las aplicaciones que lo hacen generalmente logran esto al hacer uso de lo que se denomina métodos de aplicaciones instaladas (getInstalledPackages () y getInstalledApplications ()), y los investigadores descubrieron que las aplicaciones en juegos, cómics, personalización, autos y vehículos, y categorías familiares encabezaron la lista de aplicaciones. recopilando esta información.

El año pasado, Google intentó controlar este comportamiento evitando que las aplicaciones accedan a esta información de forma predeterminada al iniciar Android 11, al tiempo que introdujo un nuevo permiso llamado «QUERY_ALL_PACKAGES» para las aplicaciones que necesitan acceso a la lista de otras aplicaciones instaladas.

«Este comportamiento de filtrado ayuda a minimizar la cantidad de información potencialmente confidencial que su aplicación no necesita para cumplir con sus casos de uso, pero a la que aún puede acceder», dijo Google.

Ahora, en un intento por intensificar sus esfuerzos para restringir el uso indebido del permiso QUERY_ALL_PACKAGES, Google ha dicho que trata el inventario de aplicaciones instaladas como datos personales y confidenciales del usuario.

A partir del 5 de mayo de 2021, el permiso se limitará solo a aquellas aplicaciones que se utilizan para la búsqueda de dispositivos, así como aplicaciones antivirus, administradores de archivos y navegadores. Otras aplicaciones, como una aplicación bancaria dedicada o una aplicación de billetera digital, pueden calificar para este permiso únicamente por motivos de seguridad.

Google también dijo que no permitiría que las aplicaciones soliciten el permiso QUERY_ALL_PACKAGES cuando los «datos se adquieren con fines de venta» o la tarea requerida se puede lograr mediante un método alternativo.

«Las aplicaciones que no cumplan con los requisitos de la política o no envíen un formulario de declaración pueden eliminarse de Google Play», señaló la compañía. «Si cambia la forma en que su aplicación usa estos permisos restringidos, debe revisar su declaración con información actualizada y precisa. Los usos engañosos y no declarados de estos permisos pueden resultar en la suspensión de su aplicación y/o la cancelación de su cuenta de desarrollador».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática