Los teléfonos inteligentes son una mina de oro de datos confidenciales, y las aplicaciones modernas funcionan como buscadores que recopilan continuamente toda la información posible de sus dispositivos.

El modelo de seguridad de los sistemas operativos móviles modernos, como Android e iOS, se basa principalmente en permisos que definen explícitamente a qué servicios confidenciales, capacidades de dispositivos o información de usuario puede acceder una aplicación, lo que permite a los usuarios decidir a qué aplicaciones pueden acceder.

Sin embargo, los nuevos hallazgos de un equipo de investigadores del Instituto Internacional de Ciencias de la Computación en California revelaron que los desarrolladores de aplicaciones móviles están utilizando técnicas sospechosas para recolectar datos de los usuarios incluso después de que niegan los permisos.

En su charla»50 formas de verter sus datos» [PDF] en PrivacyCon organizada por la Comisión Federal de Comercio el jueves pasado, los investigadores presentaron sus hallazgos que describen cómo más de 1300 aplicaciones de Android recopilan datos precisos de geolocalización e identificadores de teléfonos de los usuarios, incluso cuando han denegado explícitamente los permisos requeridos.

«Las aplicaciones pueden eludir el modelo de permisos y obtener acceso a datos protegidos sin el consentimiento del usuario mediante el uso de canales encubiertos y secundarios», escribieron los investigadores.

“Estos canales ocurren cuando existe un medio alternativo para acceder al recurso protegido que no es auditado por el mecanismo de seguridad, dejando así el recurso desprotegido”.

Los investigadores estudiaron más de 88 000 aplicaciones de la tienda Google Play, 1325 de las cuales violaron los sistemas de permisos dentro del sistema operativo Android mediante el uso de soluciones alternativas ocultas que les permiten buscar datos personales de los usuarios de fuentes como metadatos almacenados en fotos y Wi-Fi. conexiones

Datos de localización – Por ejemplo, los investigadores encontraron una aplicación de edición de fotos, llamada Shutterfly, que recopila datos de ubicación de un dispositivo mediante la extracción de coordenadas GPS de los metadatos de las fotos, como un canal lateral, incluso cuando los usuarios se negaron a otorgar permiso a la aplicación para acceder a los datos de ubicación. .

«Observamos que la aplicación Shutterfly (com.shutterfly) envía datos precisos de geolocalización a su propio servidor (apcmobile.thislife.com) sin tener permiso de ubicación».

Además, debe tenerse en cuenta que si una aplicación puede acceder a la ubicación del usuario, todos los servicios de terceros integrados en esa aplicación también pueden acceder a ella.

Identificador de teléfono – Además de esto, los investigadores encontraron otras 13 aplicaciones con más de 17 millones de instalaciones que acceden al IMEI del teléfono, un identificador de teléfono persistente, almacenado sin protección en la tarjeta SD de un teléfono por otras aplicaciones.

«Android protege el acceso al IMEI del teléfono con el permiso READ_PHONE_STATE. Identificamos dos servicios en línea de terceros que usan diferentes canales encubiertos para acceder al IMEI cuando la aplicación no tiene el permiso requerido para acceder al IMEI».

Según los investigadores, las bibliotecas de terceros proporcionadas por dos empresas chinas, Baidu y Salmonads, también están utilizando esta técnica como un canal encubierto para recopilar datos a los que de otro modo no tenían permiso para acceder.

Dirección MAC – Se encontraron otras aplicaciones usando la dirección MAC del punto de acceso Wi-Fi para averiguar la ubicación del usuario. Se encontró que las aplicaciones que funcionan como controles remotos inteligentes, que de otro modo no necesitan información de ubicación para funcionar, recopilan datos de ubicación de esta manera.

«Descubrimos empresas que obtienen las direcciones MAC de las estaciones base Wi-Fi conectadas desde el caché ARP. Esto se puede usar como sustituto de los datos de ubicación. Encontramos 5 aplicaciones que explotan esta vulnerabilidad y 5 con el código pertinente para hacerlo». escribieron los investigadores.

«Además, conocer la dirección MAC de un enrutador permite vincular diferentes dispositivos que comparten el acceso a Internet, lo que puede revelar las relaciones personales de sus respectivos propietarios o permitir el seguimiento entre dispositivos».

En su estudio, los investigadores probaron con éxito estas aplicaciones en versiones instrumentadas de Android Marshmallow y Android Pie.

Los investigadores informaron sus hallazgos a Google en septiembre pasado, y la compañía pagó a su equipo una recompensa por errores por revelar los problemas de manera responsable, pero desafortunadamente, las correcciones se implementarán con el lanzamiento de Android Q, que está previsto para finales de este verano.

La actualización de Android Q solucionará los problemas al ocultar los datos de ubicación en las fotos de aplicaciones de terceros y al hacer obligatorio que las aplicaciones que acceden a Wi-Fi tengan permiso para acceder a los datos de ubicación.

Hasta entonces, se recomienda a los usuarios que no confíen en las aplicaciones de terceros y que desactiven la configuración de permisos de identificación y ubicación para las aplicaciones que en realidad no las necesitan para funcionar. Además, desinstale cualquier aplicación que no use regularmente.