A través de una investigación para la PrivacyCon de la Comisión Federal de Comercio de Estados Unidos (FTC), un grupo de especialistas en ciberseguridad del Instituto Internacional de Ciencias Computacionales (ICSI) analizaron el comportamiento de más de 88.000 aplicaciones de Android.
Así, descubrieron que 1.325 aplicaciones recopilaban datos de los usuarios a pesar de haberles negado los permisos explícitamente.
Como es sabido, los permisos que las apps solicitan en Android les da cierta libertad para moverse por el sistema operativo y poder cumplir sus funciones.
Pero hay casos de aplicaciones que buscan abusar de ello, como una app de linterna que solicita permisos para usar la cámara y el micrófono. Gracias a esta investigación, se ha descubierto que en ciertos casos no importa que el usuario otorgue o no permiso, ya que algunas aplicaciones han encontrado la forma de seguir recopilando información privada a pesar de no tener las credenciales para ello.
De acuerdo a la investigación, son 1.325 aplicaciones las que tienen la capacidad de acceder a los registros telefónicos, a los datos precisos de geolocalización, datos y archivos personales, así como ciertos identificadores del smartphone, algo que harían de forma silenciosa, en segundo plano, y a pesar de no tener permisos para hacerlo por parte del usuario.
Serge Egelman, director de investigación en seguridad y privacidad en el ICSI, y responsable de la investigación, mencionó:
"Si los desarrolladores de aplicaciones pueden eludir este sistema, entonces pedir permiso a los consumidores no tiene ningún sentido."
Egelman agregó que se le notificó a Google y a la FTC de esta vulnerabilidad en septiembre de 2018.
Google aseguró en ese momento que lo resolverían con el lanzamiento de Android Q que se espera que llegue más adelante en este año.
De hecho, uno de los temas principales en los que se centró Google cuando presentó Android Q fue la privacidad, así como nuevos controles basados en unos permisos más estrictos.
En la investigación se explica que las aplicaciones que abusan de esta vulnerabilidad se aprovechan de agujeros de seguridad y soluciones ocultas en el código, como conexiones WiFi y los metadatos de las fotos.
Por ejemplo, está el caso de Shutterfly, una app para editar fotos, que se descubrió que recopila en todo momento las coordenadas GPS de las fotos y las envía a sus servidores, aun cuando no tenga permiso para acceder al GPS del teléfono.
Algunas otras aplicaciones aprovechan los permisos de "ver datos personales" para acceder a los archivos no protegidos de la microSD y recabar información adicional a la que se supone no deben tener acceso, según muestra la investigación.
Asimismo, se detectó que aplicaciones que sirven como mandos a distancia pueden aprovechar la conexión WiFi para conocer la dirección MAC de router, así como la ubicación y datos que se envían y reciben.
Egelman adelantó que dará a conocer la lista completa de las 1.325 aplicaciones que abusan del sistema de permisos de Android, así como los detalles de las acciones de cada una, el próximo mes de agosto durante la Conferencia de Seguridad de Usenix, donde presentará un nuevo estudio.