Más de mil 'apps' de Android recopilaron datos sin permiso de usuarios

Más de mil 'apps' de Android recopilaron datos sin permiso de usuarios

Una investigación comprobó que las aplicaciones vulneraron la negación de permisos de acceso.

Android Q

Este año, Android llegará a la versión 10 y operará en más de 2.500 millones de dispositivos activos.

Foto:

Google

Por: Redacción Tecnósfera
08 de julio 2019 , 07:20 p.m.

Una investigación del Instituto Internacional de Ciencias de la Computación (ICSI, por sus siglas en inglés) reportó que hasta 1.325 aplicaciones de Android recopilaron información de los dispositivos en las que estaban instaladas, incluso cuando los usuarios negaron permisos de acceso. 

Los resultados del estudio se dieron a conocer en PrivacyCon, una conferencia organizada por la Comisión Federal de Comercio de Estados Unidos, y revelaron la forma en la que los desarrolladores de aplicaciones exploraron vulnerabilidades para evadir el sistema de permisos de Android. 

Serge Egelman, director de investigación del grupo de seguridad y privacidad en el ICSI, explicó en la conferencia que las aplicaciones generalmente interactúan con Android por medio de 'carreteras' conocidas como API, lo que le da al sistema operativo la capacidad de administrar su acceso.

Sin embargo, el sistema de archivos no siempre está protegido por estos permisos
, y es ahí donde las aplicaciones aprovechan para recabar datos del dispositivo.  

Investigadores asociados a este proyecto lograron concluir, tras una serie de pruebas y observación a 88.000 aplicaciones en Google Play, tres categorías de 'exploits' en los que se destacan aplicaciones que consiguieron datos de ubicación de dispositivos, llamadas, entre otros.

Entre las aplicaciones que siguieron esta práctica se encuentra Baidu, el motor de búsqueda chino y Shutterfly, la aplicación de intercambio de fotos 'online'. Según se informó en PrivacyCon, esta última trabajó en torno a la falta de permisos para los datos de ubicación al leer geoetiquetas en las fotos guardadas en los celulares y luego transmitió esas coordenadas al servidor de Shutterfly.

Al respecto, el director de comunicaciones de Shutterfly, Sondra Harding, respondió a medios de comunicación y dijo que la aplicación solo lee las fotos después de que un usuario permita el acceso: "Hay muchas oportunidades en la experiencia del usuario para otorgar este permiso, incluida la opción de carga automática y obtención de una foto local".

Sobre la posición de Google, Egelman dijo en su intervención que la gigante tecnológica fue notificada de estos problemas desde septiembre del año pasado. La compañía respondió que atendería estas vulnerabilidades con Android Q, la última versión del sistema operativo, cuyo lanzamiento oficial se hará este año. 

El documento oficial de la investigación, titulado "50 maneras de filtrar sus datos: una exploración de la evasión de las aplicaciones del sistema de permisos de Android", solo menciona algunas de las aplicaciones que fueron detectadas con esta práctica, sin embargo, Egelman dijo que la lista completa será presentada en la Conferencia de Seguridad Usenix el próximo 14 de agosto.

REDACCIÓN TECNÓSFERA
@TecnosferaET

Descarga la app El Tiempo

Con ella puedes escoger los temas de tu interés y recibir notificaciones de las últimas noticias.

Conócela acá
Sigue bajando para encontrar más contenido

CREA UNA CUENTA


¿Ya tienes cuenta? INGRESA

Llegaste al límite de contenidos del mes

Disfruta al máximo el contenido de EL TIEMPO DIGITAL de forma ilimitada. ¡Suscríbete ya!

Si ya eres suscriptor del impreso

actívate

* COP $900 / mes durante los dos primeros meses

Sabemos que te gusta estar siempre informado.

Crea una cuenta y podrás disfrutar de:

  • Acceso a boletines con las mejores noticias de actualidad.
  • Comentar las noticias que te interesan.
  • Guardar tus artículos favoritos.

Crea una cuenta y podrás disfrutar nuestro contenido desde cualquier dispositivo.