Un grupo de especialistas analizaron más de 88.000 aplicaciones de Android, y descubrieron que 1.325 estaban recopilando datos de los usuarios a pesar de haberles negado los permisos explícitamente.
En agosto, durante la Conferencia de Seguridad de Usenix, se presentará un nuevo estudio y se dará a conocer la lista completa de las aplicaciones que vulneran la privacidad de los usuarios.
A través de una investigación para la PrivacyCon de la Comisión Federal de Comercio de EEUU, un equipo de trabajo del Instituto Internacional de Ciencias Computacionales (ICSI) descubrieron que en ciertos casos no importa que el usuario le otorgue o no el permiso a una aplicación, "ya que algunas aplicaciones han encontrado la forma de seguir recopilando información privada a pesar de no tener permisos para ello", informó Xataka, portal especializado en tecnología.
Las 1.325 aplicaciones identificadas por los investigadores tienen la capacidad de acceder a los registros telefónicos, datos precisos de geolocalización, datos y archivos personales, así como ciertos identificadores del smartphone.
Serge Egelman, director de investigación en seguridad y privacidad en el ICSI, y responsable de la investigación, dijo al portal CNet: "Si los desarrolladores de aplicaciones pueden eludir este sistema, entonces pedir permiso a los consumidores no tiene ningún sentido".
Egelman también indicó que desde septiembre de 2018 se le notificó a Google y a la Comisión Federal de esta vulnerabilidad. Google mencionó que lo resolverían con el lanzamiento de Android Q, que se espera que llegue más adelante en 2019.
Xataka menciona que de hecho, uno de los temas principales en los que se centró Google cuando presentó Android Q fue la privacidad, así como nuevos controles basados en unos permisos más estrictos, que está relacionado con lo que hoy conocemos como parte de esta investigación.
En la investigación se explica que las aplicaciones que abusan de esta vulnerabilidad se aprovechan de agujeros de seguridad y soluciones ocultas en el código, como conexiones WiFi y los metadatos de las fotos.
Por ejemplo, está el caso de Shutterfly, una aplicación para editar fotos, que se descubrió que recopila en todo momento las coordenadas GPS de las fotos y las envía a sus servidores, aun cuando no tenga permiso para acceder al GPS del teléfono.
Algunas otras aplicaciones aprovechan los permisos de "ver datos personales" para acceder a los archivos no protegidos de la microSD y recabar información adicional a la que se supone no deben tener acceso, según muestra la investigación y explica Xataka.
