![](\"https:\/\/sophos.files.wordpress.com\/2019\/07\/shutterstock_1408515275.jpg\"\/)
<\/p>\n\u00bfConoce esos cuadros de di\u00e1logo de Android que aparecen cuando se ejecuta una aplicaci\u00f3n por primera vez y pregunta qu\u00e9 permisos desea otorgar al software? No son tan \u00fatiles como todos pensamos.<\/p>\n
Un nuevo estudio ha revelado que las aplicaciones est\u00e1n espiando datos, incluyendo la ubicaci\u00f3n y el n\u00famero de identificaci\u00f3n \u00fanico del tel\u00e9fono, incluso cuando los usuarios no han dado permiso.<\/p>\n
El estudio ha sido realizado por investigadores de la Universidad de Calgary, U.C Berkeley, el Instituto IMDEA Networks, el Instituto Internacional de Ciencias de la Computaci\u00f3n (ICSI) y AppCensus<\/a>, que ofrece una base de datos en la que se pueden realizar b\u00fasquedas que detalla los problemas de privacidad de aplicaciones individuales. Llamado 50 Ways to Leak Your Data: An Exploration of Apps\u2019 Circumvention of the Android Permissions System<\/a>, el estudio detect\u00f3 docenas de aplicaciones que evaden las protecciones basadas en permisos de Android para obtener los datos que desean.<\/p>\n Las aplicaciones de Android deben solicitar permiso para acceder a recursos confidenciales en el tel\u00e9fono, como el GPS, la c\u00e1mara o los datos de los contactos del usuario. Cuando dices que una aplicaci\u00f3n no puede acceder a tus datos de ubicaci\u00f3n, el sistema operativo puede evitar que lo haga porque ejecuta la aplicaci\u00f3n en su propia zona de pruebas. Eso tambi\u00e9n impide interactuar a la aplicaci\u00f3n en cuesti\u00f3n, con otras aplicaciones.<\/p>\n Los investigadores analizaron m\u00e1s de 88.000 aplicaciones de Android para ver qu\u00e9 datos transmitieron desde el tel\u00e9fono y a d\u00f3nde los enviaron. Testearon varios sistemas Android, siendo el m\u00e1s reciente Android Pie (2018). Lo compararon con los permisos que el usuario hab\u00eda otorgado a la aplicaci\u00f3n para ver si las aplicaciones estaban recolectando datos a los que no deber\u00edan acceder. Encontraron docenas de aplicaciones que transmit\u00edan datos a los que no deber\u00edan haber accedido, junto con miles m\u00e1s que contienen el c\u00f3digo para hacerlo. Realizaron ingenier\u00eda inversa con el c\u00f3digo y encontraron dos m\u00e9todos principales para eludir las protecciones de los permisos.<\/p>\n El primero es conocido como un ataque de canal lateral<\/strong>. En este contexto, ocurre cuando la informaci\u00f3n confidencial est\u00e1 disponible en m\u00e1s de un lugar en un tel\u00e9fono m\u00f3vil.<\/p>\n Por ejemplo, las aplicaciones est\u00e1n destinadas a solicitar acceso al GPS del tel\u00e9fono si desean datos de ubicaci\u00f3n. Sin embargo, los investigadores encontraron aplicaciones que acced\u00edan a la direcci\u00f3n MAC de las estaciones base de Wi-Fi a las que se conectaba el tel\u00e9fono mediante la lectura de una memoria cach\u00e9 sin protecci\u00f3n almacenada localmente. Eso les dio a las aplicaciones los datos de ubicaci\u00f3n que necesitaban.<\/p>\n El segundo ataque, m\u00e1s malicioso, se conoce como un canal encubierto<\/strong>, y es una comunicaci\u00f3n de una aplicaci\u00f3n privilegiada a otra. Una aplicaci\u00f3n podr\u00eda tener permiso para leer el IMEI del tel\u00e9fono, por ejemplo, que es un identificador \u00fanico para cada tel\u00e9fono y podr\u00eda proporcionar esa informaci\u00f3n a otra aplicaci\u00f3n que no lo tuviera.<\/p>\n Los investigadores encontraron bibliotecas de software de Baidu y de la compa\u00f1\u00eda surcoreana Salmonads haciendo esto. Utilizaron la tarjeta SD para almacenar el IMEI del tel\u00e9fono, haci\u00e9ndolo legible para las aplicaciones que no pod\u00edan acceder a los datos directamente desde el tel\u00e9fono.<\/p>\n Seg\u00fan los investigadores, la aplicaci\u00f3n del servicio de impresi\u00f3n de im\u00e1genes Shutterfly adopt\u00f3 un novedoso enfoque de canal lateral para la recolecci\u00f3n de ubicaci\u00f3n utilizando la informaci\u00f3n de geolocalizaci\u00f3n almacenada en los metadatos EXIF \u200b\u200bde una imagen.<\/p>\n Shutterfly respondi\u00f3, dici\u00e9ndonos:<\/p>\n Si el usuario permite que sus im\u00e1genes se etiqueten con metadatos, incluido la geolocalizaci\u00f3n, esa informaci\u00f3n se incluye en las fotos que se cargan en la aplicaci\u00f3n Shutterfly, o se accede a ellas localmente en el tel\u00e9fono del usuario con su permiso expreso.<\/em><\/p>\n El uso de los datos por parte de la aplicaci\u00f3n no rompe el acuerdo de desarrollador de Android, agreg\u00f3.<\/p>\n Entre ellos, los SDK de Salmonads y Baidu proporcionaron datos a al menos 37,5 millones de aplicaciones instaladas que no tienen permiso para verlas. Salmonads no contest\u00f3 a nuestra solicitud de explicarse. Baidu no respondi\u00f3 en nuestro plazo.<\/p>\n Serge Egelman, director de investigaci\u00f3n en seguridad y privacidad usable en ICSI, argument\u00f3 en un correo electr\u00f3nico que muchos consumidores se sorprender\u00edan al descubrir lo que estaba sucediendo, y se\u00f1al\u00f3 que el documento se encuentra en el sitio web de la Comisi\u00f3n Federal de Comercio:<\/p>\n Lo present\u00e9 en un evento de la FTC para informarles sobre estos problemas espec\u00edficos. Estas son pr\u00e1cticas claramente enga\u00f1osas y, por lo tanto, est\u00e1n totalmente dentro del \u00e1mbito de la agencia para que tome medidas.<\/em><\/p>\n Siempre hemos avisado que se debe vigilar que permisos se otorguen a las aplicaciones que instalamos en los dispositivos m\u00f3viles. Esto sigue siendo lo recomendable, pero ahora que los usuarios de Android no parecen poder confiar en que las aplicaciones sigan las reglas, \u00bfqu\u00e9 se puede hacer? Egelman fue pesimista:<\/p>\n Desafortunadamente, no hay mucho que los usuarios de Android puedan hacer.<\/em><\/p>\n Hay una forma de solucionarlo. Google pag\u00f3 a los investigadores una recompensa por los errores encontrados despu\u00e9s de que los divulgaran el a\u00f1o pasado, y se ha comprometido a abordar muchos de los problemas en la pr\u00f3xima versi\u00f3n Q de Android. Sin embargo, eso todav\u00eda deja a muchos usuarios de Android sin soluci\u00f3n. Egelman advierte que la empresa debe tratarlos como serias vulnerabilidades de seguridad y ofrecer parches en lugar de solucionarlos en la pr\u00f3xima versi\u00f3n de su sistema operativo. Dijo:<\/p>\n La privacidad no debe ser tratada como un bien de lujo, donde solo aquellos con el dinero para comprar un dispositivo potente capaz de ejecutar Android Q est\u00e9n protegidos.<\/em><\/p>\n En cualquier caso, el problema es m\u00e1s end\u00e9mico<\/a>, concluy\u00f3, yendo m\u00e1s all\u00e1 de estos dos tipos de ataque:<\/p>\n Tambi\u00e9n vale la pena se\u00f1alar que los permisos no regulan muchos de los identificadores persistentes que se utilizan para el seguimiento. Peor a\u00fan, los mercados de aplicaciones publican pol\u00edticas para los desarrolladores que a menudo no se cumplen.<\/em><\/p>\n <\/p>\n <\/p>\n <\/p>\n Para manteneros al d\u00eda de las \u00faltimas amenazas<\/strong> haceros fans de nuestra p\u00e1gina de Facebook<\/a> o s\u00edguenos en Twitter<\/a> para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro bolet\u00edn de seguridad<\/a> en tu correo electr\u00f3nico, suscr\u00edbete en la siguiente aplicaci\u00f3n:<\/p>\n \tPermisos de paso<\/h2>\n
\u00bfQu\u00e9 hacer?<\/h2>\n