¿Conoce esos cuadros de diálogo de Android que aparecen cuando se ejecuta una aplicación por primera vez y pregunta qué permisos desea otorgar al software? No son tan útiles como todos pensamos.
Un nuevo estudio ha revelado que las aplicaciones están espiando datos, incluyendo la ubicación y el número de identificación único del teléfono, incluso cuando los usuarios no han dado permiso.
El estudio ha sido realizado por investigadores de la Universidad de Calgary, U.C Berkeley, el Instituto IMDEA Networks, el Instituto Internacional de Ciencias de la Computación (ICSI) y AppCensus, que ofrece una base de datos en la que se pueden realizar búsquedas que detalla los problemas de privacidad de aplicaciones individuales. Llamado 50 Ways to Leak Your Data: An Exploration of Apps’ Circumvention of the Android Permissions System, el estudio detectó docenas de aplicaciones que evaden las protecciones basadas en permisos de Android para obtener los datos que desean.
Las aplicaciones de Android deben solicitar permiso para acceder a recursos confidenciales en el teléfono, como el GPS, la cámara o los datos de los contactos del usuario. Cuando dices que una aplicación no puede acceder a tus datos de ubicación, el sistema operativo puede evitar que lo haga porque ejecuta la aplicación en su propia zona de pruebas. Eso también impide interactuar a la aplicación en cuestión, con otras aplicaciones.
Permisos de paso
Los investigadores analizaron más de 88.000 aplicaciones de Android para ver qué datos transmitieron desde el teléfono y a dónde los enviaron. Testearon varios sistemas Android, siendo el más reciente Android Pie (2018). Lo compararon con los permisos que el usuario había otorgado a la aplicación para ver si las aplicaciones estaban recolectando datos a los que no deberían acceder. Encontraron docenas de aplicaciones que transmitían datos a los que no deberían haber accedido, junto con miles más que contienen el código para hacerlo. Realizaron ingeniería inversa con el código y encontraron dos métodos principales para eludir las protecciones de los permisos.
El primero es conocido como un ataque de canal lateral. En este contexto, ocurre cuando la información confidencial está disponible en más de un lugar en un teléfono móvil.
Por ejemplo, las aplicaciones están destinadas a solicitar acceso al GPS del teléfono si desean datos de ubicación. Sin embargo, los investigadores encontraron aplicaciones que accedían a la dirección MAC de las estaciones base de Wi-Fi a las que se conectaba el teléfono mediante la lectura de una memoria caché sin protección almacenada localmente. Eso les dio a las aplicaciones los datos de ubicación que necesitaban.
El segundo ataque, más malicioso, se conoce como un canal encubierto, y es una comunicación de una aplicación privilegiada a otra. Una aplicación podría tener permiso para leer el IMEI del teléfono, por ejemplo, que es un identificador único para cada teléfono y podría proporcionar esa información a otra aplicación que no lo tuviera.
Los investigadores encontraron bibliotecas de software de Baidu y de la compañía surcoreana Salmonads haciendo esto. Utilizaron la tarjeta SD para almacenar el IMEI del teléfono, haciéndolo legible para las aplicaciones que no podían acceder a los datos directamente desde el teléfono.
Según los investigadores, la aplicación del servicio de impresión de imágenes Shutterfly adoptó un novedoso enfoque de canal lateral para la recolección de ubicación utilizando la información de geolocalización almacenada en los metadatos EXIF de una imagen.
Shutterfly respondió, diciéndonos:
"Si el usuario permite que sus imágenes se etiqueten con metadatos, incluido la geolocalización, esa información se incluye en las fotos que se cargan en la aplicación Shutterfly, o se accede a ellas localmente en el teléfono del usuario con su permiso expreso.
El uso de los datos por parte de la aplicación no rompe el acuerdo de desarrollador de Android, agregó.
Entre ellos, los SDK de Salmonads y Baidu proporcionaron datos a al menos 37,5 millones de aplicaciones instaladas que no tienen permiso para verlas. Salmonads no contestó a nuestra solicitud de explicarse. Baidu no respondió en nuestro plazo.
Serge Egelman, director de investigación en seguridad y privacidad usable en ICSI, argumentó en un correo electrónico que muchos consumidores se sorprenderían al descubrir lo que estaba sucediendo, y señaló que el documento se encuentra en el sitio web de la Comisión Federal de Comercio:
"Lo presenté en un evento de la FTC para informarles sobre estos problemas específicos. Estas son prácticas claramente engañosas y, por lo tanto, están totalmente dentro del ámbito de la agencia para que tome medidas.
¿Qué hacer?
Siempre hemos avisado que se debe vigilar que permisos se otorguen a las aplicaciones que instalamos en los dispositivos móviles. Esto sigue siendo lo recomendable, pero ahora que los usuarios de Android no parecen poder confiar en que las aplicaciones sigan las reglas, ¿qué se puede hacer? Egelman fue pesimista:
"Desafortunadamente, no hay mucho que los usuarios de Android puedan hacer.
Hay una forma de solucionarlo. Google pagó a los investigadores una recompensa por los errores encontrados después de que los divulgaran el año pasado, y se ha comprometido a abordar muchos de los problemas en la próxima versión Q de Android. Sin embargo, eso todavía deja a muchos usuarios de Android sin solución. Egelman advierte que la empresa debe tratarlos como serias vulnerabilidades de seguridad y ofrecer parches en lugar de solucionarlos en la próxima versión de su sistema operativo. Dijo:
La privacidad no debe ser tratada como un bien de lujo, donde solo aquellos con el dinero para comprar un dispositivo potente capaz de ejecutar Android Q estén protegidos.
En cualquier caso, el problema es más endémico, concluyó, yendo más allá de estos dos tipos de ataque:
"También vale la pena señalar que los permisos no regulan muchos de los identificadores persistentes que se utilizan para el seguimiento. Peor aún, los mercados de aplicaciones publican políticas para los desarrolladores que a menudo no se cumplen.
Fuente: Sophos News