Miles de apps roban datos a sus usuarios, no sólo FaceApp
El caso de FaceApp, la aplicación (app) que utiliza inteligencia artificial para envejecer un rostro y mostrar una imagen realista, ha puesto el punto de mira sobre un aspecto común en el que pocos usuarios reparan: su privacidad.
Al instalar la aplicación FaceApp, se advierte de que todos los datos serán utilizados e incluso cedidos a terceros, por lo que se pierde el control y todos aceptan sin pensar en las consecuencias. Pero algunos programas para celulares pueden no necesitar, ni siquiera, el consentimiento explícito.
Miles de aplicaciones burlan las limitaciones y espían, aunque no se les autorice, publica El País de Madrid.
Una investigación de un equipo de expertos en ciberseguridad reveló que hasta 12.923 apps encontraron la forma de seguir recopilando información privada, pese a haberles negado los permisos explícitamente.
¿Para qué necesita la linterna del celular acceder a la ubicación de un usuario? ¿O una grabadora a los contactos? En principio, estas apps no precisan de este tipo de permisos para su funcionamiento. Cuando acceden a ellos, suele ser en búsqueda de un bien sumamente valioso: los datos. Los usuarios pueden dar o denegar diferentes permisos a las aplicaciones para que accedan a su ubicación, los contactos o los archivos almacenados en el teléfono. Pero este estudio pone de manifiesto la dificultad de los usuarios de salvaguardar su privacidad.
Investigadores del Instituto Internacional de Ciencias Computacionales (ICSI) en Berkeley, IMDEA Networks Institute de Madrid, la Universidad de Calgary y AppCensus analizaron un total de 88.000 aplicaciones de la Play Store y observaron cómo miles de ellas acceden a información como la ubicación o datos del terminal que el usuario les había denegado previamente.
Los expertos aún no han hecho pública la lista completa de apps que realizan estas prácticas, pero el número de usuarios potenciales afectados por estos hallazgos es de “cientos de millones”.
Las apps burlan los mecanismos de control del sistema operativo gracias a herramientas ocultas en el código.
Narseo Vallina-Rodríguez, coautor del estudio, hace la siguiente comparación: “Para entrar en una casa (el dato del usuario) puede hacerlo por la puerta con la llave que te dio el dueño (el permiso), pero también lo puede hacer sin consentimiento del propietario aprovechándose de una vulnerabilidad de la puerta (un side channel) o con la ayuda de alguien que ya está dentro (covert channel)”.
Así, uno puede abrir la puerta con una llave, pero también puede encontrar la forma de hacerlo sin tener esa llave”. Lo mismo ocurre al intentar acceder a la geolocalización de un terminal. Puede no tener acceso al GPS, pero hallar el modo de acceder a la información del posicionamiento del usuario.
Metadatos
Una forma de hacerlo es a través de los metadatos que están integrados en las fotografías sacadas por el propietario del smartphone, según Vallina. “Por defecto, cada fotografía que saca un usuario Android contiene metadatos como la posición y la hora en la que se han tomado. Varias apps acceden a la posición histórica del usuario pidiendo el permiso para leer la tarjeta de memoria, porque ahí es donde están almacenadas las fotografías, sin tener que pedir acceso al GPS”, afirma.
Es el caso de Shutterfly, una aplicación de edición de fotografía. Los investigadores comprobaron que recababa información de coordenadas de GPS a partir de las imágenes de los usuarios pese a que le hubieran denegado el permiso para acceder a su ubicación.
También es posible acceder a la geolocalización a través del punto de acceso wifi con la dirección MAC del router, un identificador asignado por el fabricante que se puede correlacionar con bases de datos existentes para averiguar la posición del usuario “con una resolución bastante precisa”.
Librerías de terceros
Muchas de estas filtraciones de datos o abusos a la privacidad del usuario se realizan por librerías, que son servicios o miniprogramas de terceros incluidos en el código de las aplicaciones. Estas librerías se ejecutan con los mismos privilegios que la app en la que se encuentran. En muchas ocasiones, el usuario no es consciente de que existen. “Muchos de esos servicios tienen un modelo de negocio que está basado en la obtención y el procesado de los datos personales”, afirma el investigador.
Privacidad
“FaceApp no debe ser estigmatizada, muchas aplicaciones utilizan los mismos procedimientos”, confirma Sylvain Staub a Afp, abogado de París especializado en derecho de datos.
Marcelo Durán, experto en tecnología, explica que FaceApp hace exactamente lo mismo que otras apps: usar la plataformas SDK de Facebook para obtener los datos que los usuarios entregan.
“No hay privacidad desde el momento en que creas un perfil en estas plataformas. Es una falacia digital”, dice Durán.
“Es algo muy habitual”, explica Baptiste Robert, experto en ciberseguridad. En las condiciones generales de uso “de la mayoría de los sitios web como Twitter o Snapchat, encontrará exactamente lo mismo”.
“El modelo de negocio de estas empresas se basa precisamente en la promoción de datos de usuarios a empresas para colocación de publicidad, por lo tanto, si alguien siente que esto no está bien, debería cerrar su cuenta en Facebook porque, esas son las reglas del juego, guste o no”, señala Durán.
DATOS
Protección de privacidad. “El éxito de FaceApp, actualmente la aplicación gratuita más descargada en Google Play con más de 100 millones de usuarios, ha ido acompañado de un gran revuelo en términos de protección de la privacidad. Incluso llevó a un senador estadounidense a pedir al FBI que investigue los “riesgos para la seguridad nacional” y a Polonia y Lituania a anunciar que vigilarían la aplicación.
Relativicen los riesgos. Sin embargo, los especialistas en ciberseguridad piden que se relativicen los riesgos, como la empresa israelí Checkpoint, que dijo no haber encontrado “nada extraordinario en esta aplicación” que “parece haber sido desarrollada en la dirección correcta”.
