Miles de apps podrían ‘saltarse’ los permisos de Android

El sistema de permisos de Android se estableció como medida de seguridad, para evitar el abuso de la información que compartimos con los desarrolladores de apps. Este sistema ha evolucionado a lo largo de los años, pasando de preguntar en el momento de la instalación a solicitar nuestro permiso en el primer uso.

Dicho cambio contribuye a que los usuarios reflexionen sobre la adecuación de tales permisos para la ejecución de la app en cuestión. Sin embargo, este modelo está siendo explotado por algunas aplicaciones para eludir los permisos, según el estudio ‘50 Ways to Leak Your Data: An Exploration of Apps’ Circumvention of the Android Permissions System’, firmado por investigadores de varias universidades e instituciones y publicado por la Federal Trade Commission, la agencia estadounidense de protección al consumidor.

La investigación explica que el sistema de permisos permite que los desarrolladores puedan comenzar a sortear los permisos de Android durante la instalación, incluso antes de que la aplicación haya sido abierta y el usuario haya visto sus opciones. Los datos exfiltrados incluyen la dirección MAC y los detalles de conexión, que se pueden usar para identificar geográficamente a los usuarios.

Los investigadores descubrieron varias empresas que obtienen las direcciones MAC de las estaciones WiFi conectadas desde la caché ARP. Esto se puede utilizar como un sustituto de los datos de ubicación. Localizaron cinco aplicaciones que explotan esta vulnerabilidad y otras cinco con el código pertinente para hacerlo.

También detectaron que Unity obtiene la dirección MAC del dispositivo utilizando las llamadas de sistema ioctl, de forma que la dirección MAC puede ser utilizada para identificar de forma única el dispositivo. Encontraron 42 aplicaciones que aprovechan esta vulnerabilidad y 12.408 apps con el código pertinente para hacerlo.

Por ejemplo, los investigadores descubrieron que las bibliotecas de terceros proporcionadas por dos compañías chinas, Baidu y Salmonads, utilizan la tarjeta SD como un canal oculto, de modo que cuando una aplicación puede leer el IMEI del teléfono, lo almacena y lo facilita a otras aplicaciones que no pueden hacerlo. Localizaron 159 aplicaciones con el potencial de explotar ese canal secreto y descubrieron 13 apps que lo explotan.

Además de obtener acceso a identificadores y datos persistentes que se puede usar para inferir la geolocalización, los investigadores también encontraron un comportamiento sospechoso en torno a las coordenadas GPS reales del dispositivo. Identificaron 70 apps que envían datos de ubicación a 45 dominios diferentes, sin tener ninguno de los permisos de ubicación.

También identificaron una aplicación (Shutterfy) que usa metadatos de imágenes como canal lateral para acceder a información de ubicación precisa, a pesar de no tener permisos de ubicación. Los autores reseñan que esta técnica puede ser explotada por un actor malicioso para obtener acceso a la ubicación del usuario, ya que cualquier aplicación con acceso de lectura a la biblioteca de fotos puede obtener información precisa del usuario cada vez que el usuario toma una nueva foto con la geolocalización habilitada. Además, permite obtener históricos de geolocalización con marcas de tiempo, que luego podría usarse para inferir información confidencial sobre ese usuario.