Las aplicaciones de Android están recopilando datos de usuarios incluso después de haber denegado permisos

Más de 1,000 aplicaciones de Android están recolectando tus datos sin permiso

Un nuevo estudio de investigación reveló que más de 1,000 aplicaciones de Android disponibles en Google Play Store violaron permisos para robar datos privados como mensajes, registros de llamadas, fotos y más.

Investigadores del Instituto Internacional de Ciencias de la Computación de UC Berkeley (ICSI), que produjo la investigación, probaron 88,000 aplicaciones de la Google Play Store de EE. UU. y encontraron que 1,325 aplicaciones recolectaron información sobre datos de geolocalización e identificadores de teléfonos.

Relacionado- 10 de las mejores aplicaciones gratuitas de Android

El estudio publicado en el sitio web de la Comisión Federal de Comercio (FTC) citó 153 aplicaciones, incluyendo Samsung Health, el navegador de Samsung, Shutterfly y la aplicación del parque Disneyland de Hong Kong que recolectaron datos sin permisos explícitos.

“Las plataformas modernas de teléfonos inteligentes implementan modelos basados en permisos para proteger el acceso a datos sensibles y recursos del sistema. Sin embargo, las aplicaciones pueden eludir el modelo de permisos y obtener acceso a datos protegidos sin el consentimiento del usuario utilizando canales encubiertos y laterales”, escribieron los investigadores en un extenso informe.

“Los canales laterales presentes en la implementación del sistema de permisos permiten a las aplicaciones acceder a datos protegidos y recursos del sistema sin permiso; mientras que los canales encubiertos permiten la comunicación entre dos aplicaciones coludidas para que una aplicación pueda compartir sus datos protegidos por permisos con otra aplicación que carece de esos permisos. Ambos representan amenazas para la privacidad del usuario.”

Por ejemplo, los investigadores encontraron que Shutterfly, el sitio web para compartir fotos utilizado para editar fotos, estaba recolectando datos GPS de teléfonos móviles y enviándolos a sus propios servidores, independientemente de si los usuarios habían permitido o denegado el permiso de la aplicación para acceder a datos de ubicación.

“Como muchos servicios de fotos, Shutterfly utiliza estos datos para mejorar la experiencia del usuario con características como categorización y sugerencias de productos personalizadas, todo de acuerdo con la política de privacidad de Shutterfly, así como el acuerdo de desarrollador de Android”, dijo la compañía en un comunicado respondiendo al estudio aclarando que solo recolecta datos GPS de aquellos que le dan permiso.

En el caso de Disneyland Hong Kong, se encontró que la aplicación utilizaba la tarjeta SD como un canal encubierto para almacenar la información IMEI del teléfono. Aunque se encontró que 13 aplicaciones estaban explotando este canal encubierto para obtener la información IMEI, estas aplicaciones se instalaron más de 17 millones de veces.

“El número de usuarios potenciales afectados por estos hallazgos es de cientos de millones. Estas prácticas engañosas permiten a los desarrolladores acceder a los datos privados de los usuarios sin consentimiento, socavando la privacidad del usuario y dando lugar a preocupaciones tanto legales como éticas”, escribieron los investigadores.

“La legislación de protección de datos en todo el mundo, incluida la Regulación General de Protección de Datos (GDPR) en Europa, la Ley de Privacidad del Consumidor de California (CCPA) y leyes de protección al consumidor, como la Ley de la Comisión Federal de Comercio, imponen transparencia sobre las prácticas de recolección, procesamiento y compartición de datos de las aplicaciones móviles.”

Los investigadores que informaron sus hallazgos a Google en septiembre del año pasado dicen que algunos de ellos pueden ser solucionados en el próximo sistema operativo Android Q programado para lanzarse este año. Esto significa que varios usuarios de teléfonos inteligentes más antiguos que no reciban las actualizaciones de Android Q continuarán enfrentando el problema, dejando sus dispositivos vulnerables.

Relacionado- Microsoft está inyectando anuncios para instalar sus otras aplicaciones en Android

“Al descubrir estas prácticas y hacer nuestros datos públicos, esperamos proporcionar datos y herramientas suficientes para que los reguladores tomen acciones de cumplimiento, la industria identifique y solucione problemas antes de lanzar aplicaciones, y permitir que los consumidores tomen decisiones informadas sobre las aplicaciones que utilizan”, dijeron los investigadores.

Los investigadores sugieren que Google debería considerar estos problemas de privacidad como vulnerabilidades de seguridad graves y necesita actualizar la forma en que funcionan los permisos.

También lee- Mejor antivirus gratuito para teléfonos inteligentes Android