Las apps de Android pueden rastrearte incluso si deniegas los permisos
Los investigadores dicen que miles de aplicaciones han encontrado formas de engañar el sistema de permisos de Android, llamando al «Home» como identificador único de su dispositivo y con suficientes datos para revelar su ubicación también.
Incluso si dice «no» a una aplicación cuando solicita permiso para ver esos bits de datos de identificación personal, puede que no sea suficiente: una segunda aplicación con permisos que haya aprobado puede compartir esos bits con la otra o dejarlos en almacenamiento compartido donde otra aplicación, incluso potencialmente maliciosa, puede leerlo.
Puede que las dos aplicaciones no parezcan relacionadas, pero los investigadores dicen que debido a que están construidas usando los mismos kits de desarrollo de software (SDK), pueden acceder a esos datos y hay evidencia de que los propietarios del SDK los están recibiendo.
Es como un niño que pide postre y el padre le dice «no», así que le preguntan a la madre.
Según un estudio presentado en PrivacyCon 2019, estamos hablando de aplicaciones de Samsung y Disney que se han descargado cientos de millones de veces.
Utilizan SDK creados por el gigante de búsqueda chino Baidu y una firma de análisis llamada Salmonads que podrían pasar sus datos de una aplicación a otra (y a sus servidores) almacenándolos localmente en su teléfono primero.
Los investigadores vieron que algunas aplicaciones que usan el SDK de Baidu pueden estar intentando obtener estos datos en silencio para su propio uso.
Eso se suma a una serie de vulnerabilidades de canal lateral que el equipo encontró, algunas de las cuales pueden enviar al Home las direcciones MAC únicas de su chip y enrutador de red, punto de acceso inalámbrico, su SSID y más.
Es bastante conocido ahora que es un sustituto bastante bueno para los datos de ubicación.
El estudio también señala a la aplicación de fotos Shutterfly por enviar coordenadas GPS reales a sus servidores sin obtener permiso para rastrear ubicaciones, al recolectar esos datos de los metadatos EXIF de sus fotos, aunque la compañía negó que recopile esos datos sin permiso.
Según Android, los investigadores afirman que notificaron a Google sobre las vulnerabilidades en septiembre del año pasado.
Sin embargo, eso puede no ayudar a los muchos teléfonos Android de la generación actual que no recibirán la actualización de Android Q. (A partir de mayo, solo el 10.4 por ciento de los dispositivos Android tenían instalado el último Android P, y más del 60 por ciento seguían funcionando en el Android N. de casi tres años)
Los investigadores piensan que Google debería hacer más, posiblemente implementando revisiones dentro de las actualizaciones de seguridad, ya que no deberían ser solo los nuevos compradores de teléfonos quienes obtengan protección.
Google declinó comentar sobre las vulnerabilidades específicas, pero confirmó a The Verge que Android Q ocultará la información de geolocalización de las aplicaciones de fotos de forma predeterminada, y requerirá que las aplicaciones de fotos le digan a Play Store si son capaces de acceder a los metadatos de ubicación.
Las apps de Android pueden rastrearte incluso si deniegas los permisos