No solo FaceApp: miles de aplicaciones esp¨ªan aunque se les niegue el permiso

El caso de FaceApp, la aplicaci¨®n que utiliza inteligencia artificial para envejecer un rostro y mostrar una imagen realista, ha puesto el punto de mira sobre un aspecto com¨²n en el que pocos usuarios reparan. Al instalarla, se advierte de que todos nuestros datos ser¨¢n utilizados e incluso cedidos a terceros, por lo que se pierde el control. En este caso se avisa en un proceso que pocos usuarios leen o que aceptan sin pensar en las consecuencias. Pero algunos programas para m¨®viles pueden no necesitar ni siquiera el consentimiento expl¨ªcito. Miles de aplicaciones burlan las limitaciones y esp¨ªan, aunque no se les autorice.

?Para qu¨¦ necesita la linterna del m¨®vil acceder a la ubicaci¨®n de un usuario? ?Y una aplicaci¨®n de retoque fotogr¨¢fico al micr¨®fono? ?O una grabadora a los contactos? En principio, estas apps no precisan de este tipo de permisos para su funcionamiento. Cuando acceden a ellos, suele ser en b¨²squeda de un bien sumamente valioso: los datos. Los usuarios pueden dar o denegar diferentes permisos a las aplicaciones para que accedan a su ubicaci¨®n, los contactos o los archivos almacenados en el tel¨¦fono. Pero una investigaci¨®n de un equipo de expertos en ciberseguridad ha revelado que hasta 12.923 apps han encontrado la forma de seguir recopilando informaci¨®n privada pese a haberles negado los permisos expl¨ªcitamente.

Este estudio pone de manifiesto la dificultad de los usuarios de salvaguardar su privacidad. Investigadores del Instituto Internacional de Ciencias Computacionales (ICSI) en Berkeley, IMDEA Networks Institute de Madrid, la Universidad de Calgary y AppCensus han analizado un total de 88.000 aplicaciones de la Play Store y han observado c¨®mo miles de aplicaciones acceden a informaci¨®n como la ubicaci¨®n o datos del terminal que el usuario les hab¨ªa denegado previamente.

Los expertos a¨²n no han hecho p¨²blica la lista completa de apps que realizan estas pr¨¢cticas. Pero seg¨²n la investigaci¨®n, se encuentran entre ellas la aplicaci¨®n del parque de Disneyland en Hong Kong, el navegador de Samsung o el buscador chino Baidu. El n¨²mero de usuarios potenciales afectados por estos hallazgos es de ¡°cientos de millones¡±.

Borja Adsuara, abogado experto en derecho digital, asegura que se trata de ¡°una infracci¨®n muy grave¡± porque el sistema operativo Android requiere que las apps pidan el acceso consentido a estos datos a trav¨¦s de permisos y el usuario les dice expresamente que no. El consentimiento, seg¨²n explica, funciona de forma muy parecida tanto en la intimidad f¨ªsica como en la no f¨ªsica ¡ªdatos personales¡ª. ¡°Es como en el caso de una violaci¨®n en el que la v¨ªctima dice expresamente que no¡±, afirma.

Narseo Vallina-Rodr¨ªguez, coautor del estudio, se?ala que ¡°no est¨¢ claro si habr¨¢ parches o actualizaciones para los miles de millones de usuarios Android que a d¨ªa de hoy utilizan versiones del sistema operativo con estas vulnerabilidades". Google no ha concretado a este peri¨®dico si tiene pensado retirar del mercado o tomar alguna medida en relaci¨®n a las aplicaciones que, seg¨²n el estudio, acceden a los datos de los usuarios sin el permiso pertinente. No obstante, ha asegurado que el problema se resolver¨¢ con Android Q, la pr¨®xima versi¨®n de su sistema operativo. La compa?¨ªa pretende lanzar a lo largo del a?o seis versiones beta antes de dar a conocer la versi¨®n final durante el tercer trimestre del a?o.

?C¨®mo acceden las aplicaciones a informaci¨®n privada del usuario sin los permisos necesarios? Las apps burlan los mecanismos de control del sistema operativo mediante los side channels y los covert channels. Vallina hace la siguiente comparaci¨®n: ¡°Para entrar en una casa [el dato del usuario] puedes hacerlo por la puerta con la llave que te ha dado el due?o [el permiso], pero tambi¨¦n lo puedes hacer sin consentimiento del propietario aprovech¨¢ndote de una vulnerabilidad de la puerta [un side channel] o con la ayuda de alguien que ya est¨¢ dentro [covert channel]".

Puedes abrir una puerta con una llave, pero tambi¨¦n puedes encontrar la forma de hacerlo sin tener esa llave¡±. Lo mismo ocurre al intentar acceder a la geolocalizaci¨®n de un terminal. Puedes no tener acceso al GPS, pero hallar el modo de acceder a la informaci¨®n del posicionamiento del usuario.

Metadatos

Una forma de hacerlo es a trav¨¦s de los metadatos que est¨¢n integrados en las fotograf¨ªas sacadas por el propietario del smartphone, seg¨²n Vallina. "Por defecto, cada fotograf¨ªa que saca un usuario Android contiene metadatos como la posici¨®n y la hora en la que se han tomado. Varias apps acceden a la posici¨®n hist¨®rica del usuario pidiendo el permiso para leer la tarjeta de memoria, porque ah¨ª es donde est¨¢n almacenadas las fotograf¨ªas, sin tener que pedir acceso al GPS¡±, afirma. Es el caso de Shutterfly, una aplicaci¨®n de edici¨®n de fotograf¨ªa. Los investigadores han comprobado que recababa informaci¨®n de coordenadas de GPS a partir de las im¨¢genes de los usuarios pese a que le hubieran denegado el permiso para acceder a su ubicaci¨®n.

Tambi¨¦n es posible acceder a la geolocalizaci¨®n a trav¨¦s del punto de acceso wifi con la direcci¨®n MAC del router, un identificador asignado por el fabricante que se puede correlacionar con bases de datos existentes para averiguar la posici¨®n del usuario ¡°con una resoluci¨®n bastante precisa¡±.

Para que la aplicaci¨®n pueda acceder a esta informaci¨®n, existe un permiso que el usuario debe activar en su smartphone llamado ¡°informaci¨®n de la conexi¨®n wifi¡±, seg¨²n explica Vallina. Pero hay apps que consiguen obtener estos datos sin que el permiso est¨¦ activado. Para hacerlo, extraen la direcci¨®n MAC del router que el terminal obtiene mediante el protocolo ARP (Address Resolution Protocol), que se usa para conectar y descubrir los dispositivos que est¨¢n en una red local. Es decir, las aplicaciones pueden acceder a un fichero que expone la informaci¨®n MAC del punto de acceso wifi: ¡°Si lees ese fichero que el sistema operativo expone sin ning¨²n tipo de permiso, puedes saber la geolocalizaci¨®n de forma totalmente opaca para el usuario¡±.

Librer¨ªas de terceros

Muchas de estas filtraciones de datos o abusos a la privacidad del usuario se realizan por librer¨ªas, que son servicios o miniprogramas de terceros incluidos en el c¨®digo de las aplicaciones. Estas librer¨ªas se ejecutan con los mismos privilegios que la app en la que se encuentran. En muchas ocasiones, el usuario no es consciente de que existen. ¡°Muchos de esos servicios tienen un modelo de negocio que est¨¢ basado en la obtenci¨®n y el procesado de los datos personales¡±, afirma el investigador.

Por ejemplo, aplicaciones como la del parque de Disneyland de Hong Kong utilizan el servicio de mapas de la compa?¨ªa china Baidu. De esta forma, pueden acceder sin necesidad de tener ning¨²n permiso a informaci¨®n como el IMEI y otros identificadores que las librer¨ªas del buscador chino almacenan en la tarjeta SD. Las aplicaciones de salud y navegaci¨®n de Samsung, que est¨¢n instaladas en m¨¢s de 500 millones de dispositivos, tambi¨¦n han utilizado este tipo de librer¨ªas para su funcionamiento. ¡°La propia librer¨ªa explota esas vulnerabilidades para acceder a esos datos para sus propios fines. No est¨¢ claro si luego el desarrollador de la app accede a esos datos a trav¨¦s de la librer¨ªa¡±, explica.

Vallina afirma que en las pr¨®ximas investigaciones analizar¨¢n el ecosistema de las librer¨ªas de terceros y para qu¨¦ fines se obtienen los datos. Tambi¨¦n estudiar¨¢n los modelos de monetizaci¨®n que existen en Android y la transparencia de las aplicaciones en cuanto a lo que hacen y lo que dicen hacer en las pol¨ªticas de privacidad. Para evitar este tipo de pr¨¢cticas, el tambi¨¦n coautor del estudio Joel Reardon se?ala la importancia de realizar investigaciones de este tipo con el objetivo de ¡°encontrar estos errores y prevenirlos¡±.

Si los desarrolladores de aplicaciones pueden eludir los permisos, ?tiene sentido pedir permiso a los usuarios? ¡°S¨ª¡±, responde tajante Reardon. El investigador hace hincapi¨¦ en que las aplicaciones no pueden burlar todos los mecanismos de control y que poco a poco lo tendr¨¢n m¨¢s dif¨ªcil. ¡°El sistema de permisos tiene muchos fallos, pero a¨²n as¨ª sirve y persigue un prop¨®sito importante¡±, afirma.

Responsabilidad de los desarrolladores

Estas pr¨¢cticas realizadas sin el consentimiento de los usuarios incumplen, entre otras normativas, el Reglamento General de Protecci¨®n de Datos (RGPD) y la Ley Org¨¢nica de Protecci¨®n de Datos. Los desarrolladores de estas aplicaciones podr¨ªan enfrentarse, seg¨²n el RGPD, a sanciones econ¨®micas de hasta 20 millones de euros o el 4% de la facturaci¨®n anual de la empresa. E incluso podr¨ªan constituir un delito contra la intimidad (art¨ªculo 197 del C¨®digo Penal) que podr¨ªa conllevar penas de prisi¨®n, seg¨²n Adsuara.

El abogado sostiene que la mayor parte de la responsabilidad recae en los desarrolladores. Pero considera que tanto las tiendas ¡ªGoogle Play y Apple Store¡ª como las plataformas que dan acceso a las aplicaciones a los datos de sus usuarios ¡ªcomo Facebook en el caso Cambridge Analytica¡ª tienen una responsabilidad in vigilando: ¡°Es decir, el deber de vigilar que las aplicaciones que aceptan en su tienda o a las que dan acceso a los datos de sus usuarios en su plataforma sean seguras¡±.

¡°Aunque cada uno es responsable de sus actos, se echa en falta alguna autoridad espa?ola o europea que revise la seguridad de las aplicaciones y servicios TIC antes de lanzarlas al mercado¡±, afirma. Y subraya que en otros sectores s¨ª existe alg¨²n tipo de certificaci¨®n que garantiza que un producto o servicio es seguro: ¡°A nadie se le ocurre, por ejemplo, que se autorice la circulaci¨®n de coches a los que les fallan los frenos. Y ya no digamos medicinas, alimentos o juguetes. Sin embargo, es normal en el sector TIC que se lancen al mercado aplicaciones y servicios con agujeros de seguridad, que luego, sobre la marcha, se van parcheando¡±.