Más de 1,300 aplicaciones de Android capturadas recolectando

Más de 1,300 aplicaciones de Android capturadas recolectando datos incluso si niegas permisos


Los teléfonos inteligentes son una mina de oro de datos confidenciales, y las aplicaciones modernas funcionan como buscadores que recopilan continuamente toda la información posible de sus dispositivos.

El modelo de seguridad de los sistemas operativos móviles modernos, como Android e iOS, se basa principalmente en permisos que definen explícitamente a qué servicios sensibles, capacidades de dispositivos o información de usuario puede acceder una aplicación, lo que permite a los usuarios decidir a qué aplicaciones pueden acceder.

Sin embargo, los nuevos hallazgos de un equipo de investigadores del Instituto Internacional de Ciencias de la Computación en California revelaron que los desarrolladores de aplicaciones móviles están utilizando técnicas de sombra para recopilar datos de los usuarios incluso después de que deniegan los permisos.

En su charla " 50 maneras de verter sus datos " [ PDF ] en PrivacyCon organizada por la Comisión Federal de Comercio el pasado jueves, los investigadores presentaron sus hallazgos que describen cómo más de 1,300 aplicaciones de Android están recolectando los datos precisos de geolocalización de los usuarios e identificadores de teléfono, incluso cuando He negado explícitamente los permisos requeridos.
"Las aplicaciones pueden eludir el modelo de permiso y obtener acceso a datos protegidos sin el consentimiento del usuario mediante el uso de canales ocultos y laterales", escribieron los investigadores.
"Estos canales se producen cuando hay un medio alternativo para acceder al recurso protegido que no es auditado por el mecanismo de seguridad, dejando el recurso desprotegido".
Los investigadores estudiaron más de 88,000 aplicaciones de la tienda Google Play, de las cuales 1,325 fueron violadas violando los sistemas de permisos dentro del sistema operativo Android utilizando soluciones ocultas que les permiten buscar datos personales de los usuarios de fuentes como metadatos almacenados en fotos y Wi-Fi conexiones.

Datos de ubicación: por ejemplo, los investigadores encontraron una aplicación de edición de fotos, llamada Shutterfly, que recopila datos de ubicación de un dispositivo mediante la extracción de coordenadas GPS de los metadatos de las fotos, como un canal lateral, incluso cuando los usuarios se negaron a otorgar el permiso a la aplicación. Acceder a los datos de localización.
"Observamos que la aplicación Shutterfly (com.shutterfly) envía datos precisos de geolocalización a su propio servidor (apcmobile.thislife.com) sin tener permiso de ubicación".

Además, se debe tener en cuenta que si una aplicación puede acceder a la ubicación del usuario, todos los servicios de terceros integrados en esa aplicación también pueden acceder a ella.


Identificador del teléfono: además de esto, los investigadores encontraron otras 13 aplicaciones con más de 17 millones de instalaciones que acceden al IMEI del teléfono, un identificador de teléfono persistente, almacenado sin protección en la tarjeta SD de un teléfono por otras aplicaciones.
"Android protege el acceso al IMEI del teléfono con el permiso READ_PHONE_STATE. Identificamos dos servicios en línea de terceros que usan diferentes canales ocultos para acceder al IMEI cuando la aplicación no tiene el permiso requerido para acceder al IMEI".

Según los investigadores, las bibliotecas de terceros proporcionadas por dos compañías chinas, Baidu y Salmonads también están utilizando esta técnica como un canal encubierto para recopilar datos a los que de otra manera no tenían permiso para acceder.

Dirección Mac: se encontraron otras aplicaciones utilizando la dirección MAC del punto de acceso Wi-Fi para determinar la ubicación del usuario. Se encontró que las aplicaciones que funcionan como controles remotos inteligentes, que de otra manera no necesitan información de ubicación para funcionar, recopilan datos de ubicación de esta manera.

"Descubrimos que las compañías obtuvieron las direcciones MAC de las estaciones base Wi-Fi conectadas de la memoria caché ARP. Esto se puede usar como un sustituto de los datos de ubicación. Encontramos 5 aplicaciones que explotan esta vulnerabilidad y 5 con el código pertinente para hacerlo". los investigadores escribieron
"Además, conocer la dirección MAC de un enrutador permite vincular diferentes dispositivos que comparten acceso a Internet, lo que puede revelar las relaciones personales de sus respectivos propietarios o habilitar el seguimiento entre dispositivos".

En su estudio, los investigadores probaron con éxito estas aplicaciones en versiones instrumentadas de Android Marshmallow y Android Pie.

Los investigadores informaron de sus hallazgos a Google en septiembre pasado, y la compañía pagó a su equipo una recompensa por divulgar los problemas de manera responsable, pero desafortunadamente, las correcciones se lanzarán con el lanzamiento de Android Q, que se lanzará a finales de este verano.

La actualización de Android Q solucionará los problemas ocultando los datos de ubicación en las fotos de aplicaciones de terceros, así como obligando a las aplicaciones que acceden a Wi-Fi a tener permiso para acceder a los datos de ubicación.

Hasta entonces, se recomienda a los usuarios que no confíen en las aplicaciones de terceros y que desactiven la configuración de permisos de ubicación e ID para las aplicaciones que realmente no las necesitan para funcionar. Además, desinstale cualquier aplicación que no use regularmente.













Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta