Más allá de FaceApp: son 13.000 las ‘apps’ que recopilan datos sin permisos

En las últimas semanas, la aplicación que utiliza inteligencia artificial para envejecer los rostros y mostrar una imagen muy realista, llamada FaceApp, se ha puesto nuevamente de moda en buena parte del mundo, no solo en Argentina.

Su uso indiscriminado ha hecho surgir en paralelo diversas advertencias en las que pocos usuarios reparan. El caso de FaceApp no es el único: aunque muchas aplicaciones, al instalarlas, advierten que todos nuestros datos serán utilizados e incluso cedidos a terceros, hay cerca de 13 mil aplicaciones que no piden ningún permiso y llevan de igual modo esa tarea adelante.

Estas apps que no precisan de autorizaciones para su funcionamiento, buscan un bien sumamente valioso: los datos. Los usuarios pueden dar o denegar el acceso a la ubicación, los contactos o los archivos almacenados en el teléfono. Sin embargo, una investigación de un equipo de expertos en ciberseguridad ha revelado que existen hasta 12.923 aplicaciones que han encontrado la forma de seguir recopilando información privada pese a que el usuario les negó el permiso explícitamente.

El estudio, difundido por el diario El País de España, pone de manifiesto la dificultad de los usuarios de salvaguardar su privacidad. Investigadores del Instituto Internacional de Ciencias Computacionales (ICSI), IMDEA Networks Institute de Madrid, la Universidad de Calgary y AppCensus han analizado un total de 88.000 aplicaciones de la Play Store y han observado cómo miles de ellas acceden a información como la ubicación o datos del terminal que el usuario les había denegado previamente.

 

 

¿Cómo acceden las aplicaciones sin los permisos necesarios?

Las apps burlan los mecanismos de control del sistema operativo mediante los llamados side channels y los covert channels.

Cuando una aplicación intenta acceder a la geolocalización de un terminal, puede no tener acceso al GPS, pero halla el modo de acceder a la información del posicionamiento del usuario. Una forma de hacerlo es a través de los metadatos que están integrados en las fotografías sacadas por el propietario del smartphone.

Por defecto, cada fotografía que saca un usuario por ejemplo de Android, contiene metadatos como la posición y la hora en la que se han tomado. Varias apps acceden a la posición histórica del usuario pidiendo el permiso para leer la tarjeta de memoria, porque ahí es donde están almacenadas las fotografías, sin tener que pedir acceso al GPS. Uno de los casos es Shutterfly, una aplicación de edición de fotografía.

También es posible acceder a la geolocalización a través del punto de acceso wifi con la dirección MAC del router, un identificador asignado por el fabricante que se puede correlacionar con bases de datos existentes para averiguar la posición del usuario.

Para que una aplicación pueda acceder a esta información, existe un permiso que el usuario debe activar en su smartphone llamado “información de la conexión wifi”. Sin embargo, hay apps que consiguen obtener estos datos sin que el permiso esté activado. Para hacerlo, extraen la dirección MAC del router que el terminal obtiene mediante el protocolo ARP (Address Resolution Protocol), que se usa para conectar y descubrir los dispositivos que están en una red local. Es decir, las aplicaciones pueden acceder a un fichero que expone la información MAC del punto de acceso wifi.

Muchas de estas filtraciones de datos o abusos a la privacidad del usuario se realizan por librerías, que son servicios o miniprogramas de terceros incluidos en el código de las aplicaciones. Estas librerías se ejecutan con los mismos privilegios que la app en la que se encuentran. En muchas ocasiones, el usuario no es consciente de que existen.