Los permisos de Android no valen de nada: 1.300 aplicaciones con permisos denegados robaban datos

Android es el sistema operativo móvil más usado del mundo, y nos protege limitando el número de permisos que se le conceden por defecto a una aplicación. Sin embargo, en el pasado se ha comprobado que, a pesar de no tener acceso a permisos sensibles, hay otros muchos permisos que dan mucha información a las apps. Y un estudio ha demostrado que más de 1.300 apps robaban datos a los que no deberían tener acceso.

Las apps de Android se saltan las restricciones de permisos

Esas más de 1.000 apps se saltaban las restricciones y obtenían datos como la ubicación precisa sin que el usuario lo supiera. Los datos valen mucho dinero, y las desarrolladoras no quieren perder cualquier oportunidad de ganarlo, aunque sea robando nuestros datos. En concreto, 1.325 apps de Android estaban obteniendo datos de dispositivos a pesar de que los usuarios les habían denegado el permiso para ello, por lo que esta solicitud de acceso no vale de mucho.

movil android google play

En total, los investigadores analizaron 88.000 aplicaciones de Android, y las 1.325 que violaban los permisos de ubicación usaban dos técnicas para obtener datos personales. La primera era obtener datos personales a través de las redes WiFi para intentar establecer una ubicación aproximada, y la otra era directamente analizar los metadatos de las fotos almacenadas para conocer la ubicación. Otras apps intentaban adivinar la dirección MAC del router, entre las que se encontraban algunas de mandos que usan el puerto infrarrojos del móvil.

Una aplicación de edición de fotos llamada Shutterfly obtenía las coordenadas GPS de las fotos y las enviaba a sus servidores incluso cuando los usuarios denegaban los permisos de ubicación. La compañía se defendió de las acusaciones diciendo que estos datos eran usados para «mejorar la experiencia del usuario con funciones como sugerencias personalizadas de productos».

Habrá que esperar a Android Q para solucionar estos problemas

Desgraciadamente, la propia Google ha reconocido que no puede hacer nada con las versiones actuales de Android, y que sólo lo van a solucionar a partir de Android Q. Entre esas soluciones encontramos que las apps no podrán acceder a los metadatos de nuestras fotos para obtener la ubicación. Además, todas las apps que tengan acceso al WiFi estarán obligadas a solicitar permiso explícito para acceder a la ubicación de los usuarios.

Este es el segundo caso que se destapa este año de acceso indebido por parte de las apps, donde en febrero un estudio reveló que 15.000 apps accedían a datos como el IMEI para identificar al dispositivo aunque cambiase el identificador único para los anuncios. Para conseguir los datos, simplemente escaneaban la memoria interna a ver si alguna app dejaba esa información sin proteger.

El investigador publicará el listado completo de apps durante el próximo mes de agosto en una conferencia en California, las cuales de momento parece que seguirán obteniendo nuestros datos sin nuestro permiso.