El International Computer Science Institute señaló en una investigación que existen aplicaciones que pueden omitir permisos para recopilar datos de los usuarios por medio de "canales ocultos".
Cuando niegas el permiso de una aplicación móvil para recopilar datos personales de tu teléfono, es razonable esperar que eso se cumpla. Pero un nuevo estudio de aplicaciones populares de Android descubrió que no siempre es así.
Miles de aplicaciones populares de Google Play Store pueden omitir permisos para recopilar datos de usuarios, según el centro de investigación sin fines de lucro International Computer Science Institute, que se asocia con la Universidad de California, Berkeley. Las aplicaciones evitan las restricciones al encontrar “canales laterales” o “canales ocultos”, como tomar datos de aplicaciones que sí tienen esos permisos, lo que podría afectar a cientos de millones de usuarios de Android.
Lee también: El Walkman cumple 40 años: El invento que hizo portátil la música
Los investigadores encontraron que aproximadamente 60 aplicaciones de Android, que se han descargado millones de veces, ya lo están haciendo. Muchos otros están construidos con un código que podría permitirles hacer lo mismo.
El estudio también señala que los permisos de Android dificultan el seguimiento de cómo una aplicación compartirá la información y bajo qué circunstancias, incluso cuando los usuarios aceptan compartir datos.
“Estas prácticas engañosas permiten a los desarrolladores acceder a los datos privados de los usuarios sin su consentimiento, lo que socava la privacidad del usuario y da lugar a preocupaciones tanto legales como éticas”, escribieron los investigadores.
Los investigadores contactaron a Google sobre lo que encontraron y la compañía les pagó una recompensa por el error. Google dice que los problemas se abordarán en la próxima gran actualización de Android, llamada Android Q, que se espera para este año.
Lee también: Casi 100 conductores siguieron un desvío de Google Maps y terminaron atrapados en un campo enlodado
El estudio fue patrocinado por el programa Ciencia de la Seguridad de la Agencia Nacional de Seguridad de EE.UU., el Departamento de Seguridad Nacional y la Fundación Nacional de Ciencia, entre otros, y se presentó en el evento PrivacyCon de la Comisión Federal de Comercio la semana pasada.
Los investigadores descargaron y analizaron las aplicaciones más populares en cada categoría de Google Play Store, con un total de 88.000.
En algunos casos, las aplicaciones con permiso para acceder a información como los datos de ubicación se almacenaron en la tarjeta SD del teléfono, donde las aplicaciones sin los permisos adecuados podrían acceder a ella.
Lee también: Bill Gates revela el mayor error de su carrera
En otros casos, los usuarios pueden haber dado acceso técnico a la aplicación a los datos sin entender exactamente lo que acordaron. Por ejemplo, las fotos a menudo incluyen metadatos, como la hora y la ubicación donde se tomaron, lo que significa que una aplicación podría ver la ubicación de un usuario, incluso si no tuviera permiso.
“Observamos que estos ataques pueden no ser necesariamente maliciosos e intencionales”, escribieron los investigadores.
Google dice que la información de ubicación de las fotos se ocultará de manera predeterminada de las aplicaciones que solicitan fotos en Android Q, a menos que los desarrolladores especifiquen en Google Play Store si su aplicación es capaz de acceder a la ubicación de una foto. La actualización también requerirá que las aplicaciones que recopilan información del punto de acceso wifi —que los investigadores dicen que son datos de ubicación de facto— tengan permisos de ubicación. Apple también anunció recientemente que estaba acabando con las aplicaciones que usan conexiones wifi y Bluetooth para recopilar datos de ubicación en su próxima actualización de iOS.
El estudio refuerza las preocupaciones sobre las formas en que las compañías de Big Tech administran y protegen (o no protegen) la privacidad del usuario. El presidente ejecutivo de Google, Sundar Pichai, dijo en una audiencia en el Congreso de diciembre que la compañía recopila una gran cantidad de datos de usuarios y ofrece herramientas para que los usuarios determinen la cantidad de información que permiten que Google y las aplicaciones del sistema operativo Android puedan recopilar. Sin embargo, ha admitido que la empresa podría estar haciendo más.
“No creo que los usuarios tengan una buena idea de cómo se están utilizando sus datos, creo que hemos puesto la carga en los usuarios en gran medida”, dijo Pichai a Poppy Harlow, de CNN, el mes pasado. “Creo que necesitamos un mejor marco donde los usuarios obtengan la comodidad de tener el control de sus datos, cómo se utilizan”.