El pasado diciembre, el director ejecutivo de Google, Sundar Pichai, admitió durante una sesión con miembros del Congreso que la empresa podía «hacerlo mejor» cuando se trata de ayudar a los usuarios a comprender qué medidas deben tomar para proteger su privacidad. Desafortunadamente, parece que la compañía también podría hacerlo mucho mejor cuando se trata de proteger realmente esa privacidad.

Un estudio presentado por investigadores de PrivacyCon 2019 demostró que miles de aplicaciones Android están abusando de los permisos del sistema operativo móvil para recopilar datos y para revelar información crítica sobre el usuario, incluida su ubicación.

Particularmente llamativo, según los investigadores, es el hecho de que si le niegas a una de las aplicaciones el permiso para obtener datos que podrían identificarte, otra aplicación a la que sí le diste permiso podría compartir los datos con la otra aplicación. Dicho de otra manera, es como si un niño le pidiera dulces a uno de sus padres, le dijeran «no», y luego le preguntara al otro que termina dándoselos. Según los investigadores, este tipo de cosas es posible cuando las aplicaciones han sido construidas con los mismos SDKs.

Además, los investigadores encontraron vulnerabilidades, incluyendo algunas que pueden enviar datos como su punto de acceso inalámbrico y la dirección MAC única del router de su hogar.

Las aplicaciones de empresas como Samsung, que utilizan SDKs construidos por la empresa de análisis Salmonads, así como Baidu de China, se mencionan en el estudio. Dos de las aplicaciones de Samsung mencionadas incluyen las aplicaciones Health y Browser de Samsung, ambas con más de 500 millones de instalaciones. Del mismo modo, el estudio coloca dos aplicaciones de Disney en este mismo saco, siendo aplicaciones para cada uno de los parques temáticos de Disney en Hong Kong y Shangai. El SDK de Baidu, señalan los investigadores, es capaz incluso de eludir el sistema de permisos de Android y acceder al IMEI del dispositivo, un número único de 15 a 17 dígitos único para todos los teléfonos móviles.

«También descubrimos que las bibliotecas de terceros proporcionadas por dos compañías chinas -Baidu y Salmonads- utilizan de forma independiente la tarjeta SD como canal encubierto, de modo que cuando una aplicación puede leer el IMEI del teléfono, lo almacena para otras aplicaciones que no pueden hacerlo», señalan los investigadores. «Encontramos 159 aplicaciones con el potencial de explotar este canal encubierto y  encontramos 13 aplicaciones haciéndolo actualmente.»

La aplicación de fotografía Shutterfly envía coordenadas GPS a los servidores de la empresa sin pedir permiso al usuario utilizando metadatos fotográficos.

Los investigadores dicen que le han comunicado a Google sus hallazgos y, según la multinacional, las correcciones para algunos de ellos vendrán con Android Q, lo cual significa que ni todos los problemas se corregirán ni las correcciones llegarán a quienes no tengan un smartphone del último modelo.

O sea, que a Google no quiere cortar muchos de estos temas de violaciones de privacidad porque si lo hiciera, al final tendría que aplicarse su propia medicina y eso afectaría su cuenta de resultados.

LEAVE A REPLY

Please enter your comment!
Please enter your name here