La letra chica de las apps de Android: por qué es riesgoso aceptar todos los permisos


Las aplicaciones de Google Play son una verdadera caja de sorpresas. Mientras algunas demandan más de lo que precisan para operar, otras esconden una compleja maquinaria de espionaje en sus líneas de código.

Un grupo de investigadores de Comparitech se tomó el trabajo de analizar las 2.500 app de Android más utilizadas y descubrieron que, al menos 1 de cada 50 solicita permisos innecesarios que ponen en riesgo la privacidad y los datos del portador.

Estos permisos, que son la nueva letra chica de la tecnología, allanan el camino para que las aplicaciones ejecuten scripts peligrosos y obtengan acceso a los mensajes SMS y las cuentas de redes sociales.

En promedio, una persona tiene 80 apps en su teléfono, lo que significa que existe una alta probabilidad de que al menos una de ese pelotón encubra un software malicioso.

Los permisos, que son la nueva letra chica de la tecnología. Foto Xinhua

Al desglosar los resultados por categoría de aplicación, las más conflictivas son las de Noticias (18,6%), Negocios (16,3%), Deportes, Estilo de vida, Fitness y Personalización (7%), Citas (4,7%), Redes sociales y Delivery (2,3%).

Además, hay 59 aplicaciones –sobre un total de 111- que solicitaron acceso a los SMS y lo emplean en actividades que no están relacionadas con su funcionalidad, como recibir códigos del segundo factor de seguridad (2FA), dicen los investigadores.

Estos permisos excesivos podrían lograr que un tercero lea conversaciones de texto privadas, lo que pone en riesgo la privacidad del usuario y su red de contactos. Además, podrían usarse para enviar mensajes SMS desde el dispositivo del usuario a personas en su lista.

Puertas cerradas

Conceder una libertad ilimitada a estas aplicaciones para explorar los SMS es como dejar la puerta abierta durante la noche. Los peligros más comunes son:

Además del número de teléfono, se puede obtener la dirección del remitente del SMS, la información almacenada en la lista de contactos, incluido el nombre, el correo electrónico y las cuentas bancarias que utiliza.

Que las aplicaciones almacenen los contactos SMS del usuario en una base de datos y las envíen a un número incógnito.

La mayoría de las app solicitan permisos que no necesitan para funcionar.

La mayoría de las app solicitan permisos que no necesitan para funcionar.

Consultar el contenido del SMS y del número de teléfono del remitente. Esto sirve para leer sus mensajes de texto y de qué números provienen. Podría usarse para obtener códigos 2FA / OTP, pero también para otros fines.

Para verificar cuáles ampliaban el alcance de sus autorizaciones, los investigadores de Comparitech utilizaron una herramienta llamada Quark Engine que analiza la información guardada en el archivo APK de instalación.

Este software examinar los permisos en manifest.xml, un documento utilizado por casi todas las aplicaciones de Android que declaran permisos. Las herramientas lo examinan para probar 145 aprobaciones únicas.

A diferencia de otros permisos, un teléfono Android, de forma nativa, no avisa al usuario cuando está a punto de ejecutar un script de Shell, un programa que provee una interfaz de usuario para acceder a los servicios del sistema operativo.

Muchas de las app de Android bajo la lupa.
REUTERS

Muchas de las app de Android bajo la lupa.
REUTERS

Los scripts de Shell pueden realizar una amplia gama de acciones. Estos pueden incluir cambiar el teclado activo, alternar la configuración de Android, recuperar información y estado de la red, administrar notificaciones, alterar esquemas de color y diseños.

Normalmente, esto requiere acceso de root, pero Android admite la ejecución de algunos comandos sin él. Una aplicación maliciosa podría realizar una amplia gama de ataques utilizando scripts de shell. Incluso, le concede una autonomía más profunda para modificar el dispositivo y acceder a nivel de hardware.

Permisos y recomendaciones

Google divide los permisos de Android en dos tipos: tiempo de instalación y tiempo de ejecución. Aunque Google pretende que los desarrolladores soliciten solo aquellos permisos claves para su funcionamiento, no siempre es así.

Los primeros son aceptados o denegados por el usuario al iniciar por primera vez una aplicación. Los otros, de tiempo de ejecución, deben ser otorgados mientras la aplicación está en curso.

Lo ideal es mantener los permisos al mínimo. Google aconseja a los desarrolladores que diseñen sus aplicaciones para que puedan seguir utilizándose incluso si niega un permiso de tiempo de instalación o de ejecución.

Entonces, si la aplicación está bien confeccionada, aún debería funcionar. Sin embargo, no hay que tener miedo de negar un permiso. Siempre se puede cambiar de opinión más tarde.

También se puede optar por una aplicación que se ocupe de administrar todos los permisos como Permission Manager que, de manera imparcial, decide en base a la utilidad de cada software.

SL



Fuente