Cuando le dices explícitamente a una aplicación de Android, “No, no tienes permiso para rastrear mi teléfono”, probablemente esperas que no tenga habilidades que lo permitan. Pero los investigadores dicen que miles de aplicaciones han encontrado formas de engañar al sistema de permisos de Android, al llamar a tu casa el identificador único de su dispositivo revela su ubicación.
Incluso si dice “no” a una aplicación cuando le pide permiso para ver esos datos que lo identifican personalmente, puede que no sea suficiente: una segunda aplicación con permisos que haya aprobado puede compartir esos bits con la otra o dejarlos en almacenamiento compartido donde otra aplicación, potencialmente incluso maliciosa, puede leerlo. Es posible que las dos aplicaciones no parezcan relacionadas, pero los investigadores dicen que debido a que se construyen con los mismos kits de desarrollo de software (SDK), pueden acceder a esos datos y hay pruebas de que los propietarios de SDK los están recibiendo. Es como un niño que pide un postre al que un padre le dice “no”, por lo que le preguntan al otro.
Según un estudio presentado en PrivacyCon 2019, estamos hablando de aplicaciones de Samsung y Disney que se han descargado cientos de millones de veces. Usan los SDK creados por Baidu y una firma de análisis llamada Salmonads que podría pasar sus datos de una aplicación a otra (y a sus servidores) al almacenarlos localmente en su teléfono. Los investigadores vieron que algunas aplicaciones que utilizan el SDK de Baidu pueden estar intentando obtener estos datos de forma silenciosa para su propio uso.
CANALES CUBIERTOS Y CANALES LATERALES
Ademas se encontraron una serie de vulnerabilidades , algunas de las cuales pueden enviar a casa las direcciones MAC únicas de su chip de red y enrutador, punto de acceso inalámbrico, su SSID y más. “Es bastante conocido ahora que es un sustituto bastante bueno para los datos de ubicación”, dijo Serge Egelman, director de investigación del Grupo de Seguridad y Privacidad Útil en el Instituto Internacional de Ciencias de la Computación (ICSI), cuando presentó el estudio en PrivacyCon.
El estudio también señala la aplicación de fotos Shutterfly para enviar las coordenadas de GPS reales a sus servidores sin obtener permiso para rastrear las ubicaciones, mediante la recopilación de esos datos a partir de los metadatos EXIF de sus fotos, aunque la compañía negó que recopila esos datos sin permiso en una declaración para CNET.
Según los investigadores, hay algunos arreglos para algunos de estos problemas en Android Q que dicen haber notificado a Google sobre las vulnerabilidades en septiembre pasado. Sin embargo, es posible que esto no ayude a los teléfonos Android de la generación actual que no recibirán la actualización de Android Q. (A partir de mayo, solo el 10,4 por ciento de los dispositivos con Android tenía la última versión de Android P instalada, y más del 60 por ciento todavía funcionaba en el Android N de casi tres años).
Los investigadores creen que Google debería hacer más, posiblemente implementando revisiones dentro de las actualizaciones de seguridad mientras tanto, ya que no deberían ser solo los compradores de teléfonos nuevos los que obtienen protección. “Google está afirmando públicamente que la privacidad no debería ser un bien de lujo, pero eso parece ser lo que está sucediendo aquí”, dijo Egelman.
Google se negó a comentar sobre las vulnerabilidades específicas, pero confirmó a The Verge que Android Q ocultará la información de geolocalización de las aplicaciones de fotos de forma predeterminada, y requerirá que las aplicaciones de fotos le indiquen a Play Store si son capaces de acceder a los metadatos de la ubicación.
Nota original de The Verge
Autor: Sean Hollister
URL:https://www.theverge.com/2019/7/8/20686514/android-covert-channel-permissions-data-collection-imei-ssid-location
Presidenta, fundadora de LIA - Lawyers in actualization.
Abogada especializada en Propiedad Intelectual y cumplimiento legal.
