Una de las estratagemas que tienen algunas aplicaciones Android para obtener datos personales es la de abusar de los permisos que concede el usuario. Estamos más que acostumbrados a verlo: apps de la Google Play que piden accesos que no necesitan. Podemos pensar que retirando dichos permisos las apps no pueden acceder a los datos, pero esto no es 100 % seguro. Investigadores lo han corroborado.

Como publicaron los investigadores en junio, y han descubierto recientemente en CNET, una notable cantidad de aplicaciones Android, algunas muy populares, encontraron la manera de obtener datos personales de los usuarios incluso a pesar de que les negaran los permisos. No es ni mucho menos lo habitual, pero no por ello deja de ser peligroso.

De las más de 88 000 apps estudiadas 1325 violaban los permisos de Android

Por lo general todos pensamos que basta quitarle el permiso de localización a una app para que esta no pueda leerlo, por ejemplo, del GPS. Como demostraron investigadores que se dedicaron a analizar los mecanismos de las aplicaciones, algunas conseguían vulnerar las restricciones incluso aunque los usuarios protegiesen el acceso retirando los permisos.

Los mecanismos para vulnerar los permisos son variados. Algunos de los más utilizados son los siguientes:

• Aplicaciones pueden obtener direcciones MAC de los puntos de acceso accediendo a la caché ARP. También haciendo uso de vulnerabilidades de Unity.
• Aplicaciones como Baidu y Salmonads registran datos como el IMEI para otras apps que no tienen ese permiso. Estos datos tan cruciales se almacenan en el teléfono; estando accesibles para otros desarrolladores que conocen la vulnerabilidad.
• Aplicaciones sin acceso a la localización utilizan los datos de ubicación de las imágenes para obtener las direcciones precisas del teléfono.
• Existen apps que utilizan canales encubiertos para traspasarse información privada. Por ejemplo, una aplicación consigue acceso al IMEI y le envía esta información de manera encubierta a otra app que no tiene dicho acceso.
• Hay aplicaciones que se aprovechan de vulnerabilidades conocidas de otras apps, APIs y servicios para obtener datos a los que no tienen acceso.

Los investigadores publicaron un completo paper y también  comunicaron sus descubrimientos a Google. La empresa tiene constancia de las formas en las que diversas apps esquivan los permisos; y corregirá estas vulnerabilidades en Android 10 Q. Los desarrolladores tendrán mucho más restringidos los permisos y el acceso a la información privada del usuario.

Como suele ocurrir, la mejor manera de protegernos es utilizar el sentido común e instalar el menor número de aplicaciones posible. Siempre de desarrolladores conocidos y vigilando bien los permisos que piden las apps. Es cierto que existen riesgos de que se vulneren dichos permisos, pero este hecho es algo poco frecuente.