En años recientes, Google ha "aumentado sus esfuerzos" para evitar que las apps de Android recolectan información personal sin consentimiento del usuario. Una de las soluciones fue integrar más permisos de acceso en las últimas versiones del sistema operativo, sin embargo, una investigación reciente demuestra que más de 1.000 aplicaciones están burlando la autorización para seguir obteniendo datos.
El Instituto Internacional de Ciencias de la Computación, en un reporte recogido por el portal CNET, dio a conocer que de 88.000 apps de Android analizadas, 1.325 siguen recopilando datos aunque la solicitud de acceso fue negada. ¿Cómo lo lograron? El sistema operativo tiene un fallo que está siendo explotado por los responsables de estas prácticas.
Según explican, las apps no acceden directamente a componentes como el GPS, pero sí a otros apartados donde la información privada queda almacenada, incluyendo las conexiones Wi-Fi o los metadatos de las fotografías. Su método consiste en ocultar el fragmento de código que se encarga de todo el proceso. Entre la información que recopilan se encuentra aquella relacionada con la ubicación del dispositivo.
Google tardó 8 años en detectar las actividades fraudulentas de una app de Android
157 apps tenían la capacidad de aprovecharse de otras que sí tenían permisos, no obstante, solo 13 hacían uso de este funcionamiento. Por ejemplo, cuando una aplicación guardaba información sin cifrar en una tarjeta SD, las apps señaladas accedían a la unidad de almacenamiento para tomar esos datos. Así, sin mayor complicación. Entre las implicadas en esta práctica encontramos a Baidu, un programa que se usa en Disneyland de Hong Kong.
También se mencionan propuestas enfocadas en la salud, otras de navegación de Samsung y Shutterfly, que se dedicada a la edición fotográfica. El reporte asegura que esta última recabó datos de geolocalización y posteriormente la enviaron a sus servidores. Un portavoz de la empresa se limitó a decir lo siguiente:
Como muchos servicios de fotografía, Shutterfly utiliza esta información para mejorar la experiencia del usuario con características como sugerencias de producto con categorización y personalización, todo de acuerdo con las políticas de privacidad de Shutterfly al igual que con el acuerdo de desarrollador Android.
La solución, hasta Android Q
Aún más preocupante es la respuesta de Google, pues si bien reconocieron el problema, también afirmaron que se resolverá hasta Android Q. Esta versión estará disponible, de acuerdo a diversos reportes, en agosto del presente año. No obstante, la fragmentación del sistema evitará que algunos dispositivos reciban la actualización, lo cual dejará a muchos usuarios expuestos al fallo.
Desafortunadamente, y como bien señala Serge Egelman, director de seguridad del IICC, "los consumidores tienen muy pocas herramientas y señales que pueden usar para controlar razonablemente su privacidad y tomar decisiones al respecto", y agrega: "Si los desarrolladores de aplicaciones pueden evadir el sistema, entonces pedir permiso a los consumidores no tiene sentido".