Foto: Forbes

Un estudio reciente reveló que las aplicaciones de Android estaban recopilando información personal de los usuarios aun cuando estos no les autorizaban, incurriendo en una práctica masiva de violación a la privacidad.

Un grupo de investigadores de la Universidad de Calgary, Carlos III de Madrid y la U.C. Berkley realizaron el estudio llamado “50 maneras de filtrar sus datos: una exploración de la circunvalación de aplicaciones del sistema de permisos de Android”, donde revelan la forma en que las aplicaciones obtienen los datos de los usuarios sin autorización.

Prácticas sombrías

De acuerdo con el análisis, estas aplicaciones de Android lograban acceder a información delicada del dispositivo tales como dirección MAC, el código IMEI, esta información representa de cierta forma la identidad única del dispositivo móvil. Los investigadores señalan que las aplicaciones ejecutaban el SDK al realizar la instalación en el dispositivo, estas incluían Salmonads, una aplicación de desarrolladores de terceros con sede en Seúl, SDK de Baidu Maps y el de OpenX.

“Los comportamientos que documentamos en este documento constituyen violaciones claras de la privacidad. Desde una perspectiva legal y política, es probable que estas prácticas se consideren engañosas o ilegales ”, dicen los investigadores.

Asimismo, otro investigador determinó que los investigadores desarrollaron una aplicación que descargó 252,864 versiones de 88,113 diferentes aplicaciones de Android. Debido a que se ejecutó en un entorno controlado, lograron rastrear los eventos de entrada y salida del dispositivo.

Si nunca lees los términos y condiciones de los servicios web, Guard lo hará por ti

Sin mencionar que los SDK de otras aplicaciones se lograron descargar miles de veces, por lo que es difícil determinar el número de usuarios afectados. Esto lo hacían a través de un canal oculto que cuenta con el permiso requerido para acceder a la información de los dispositivos, y los envía a la aplicación que no cuenta con permisos de usuarios.

De esta forma lo explica Adrian Colyer en su sitio web:

El entorno de prueba que ejecuta aplicaciones en un “honeypot” y descubre cuáles de esas aplicaciones están filtrando datos que no tienen permiso para obtener.
Ingeniería inversa de esas aplicaciones para descubrir los mecanismos que están utilizando.

Creación de huellas dactilares basadas en el análisis anterior, que se pueden utilizar para mostrar otras aplicaciones utilizando las mismas técnicas.
Análisis de los resultados para determinar qué mecanismos se utilizan en la naturaleza y qué tan frecuentes son.

Tras el reporte de los investigadores, Google anunció que se encuentran trabajando para abordar los problemas de seguridad de estas aplicaciones Android lo más pronto posible. Cabe destacar que estas soluciones solo estarán disponibles para usuarios Android Q, señala la compañía.

Más en TekCrispy