No solo FaceApp: miles de aplicaciones espían aunque se les niegue el permiso
El caso de FaceApp, la aplicación que utiliza inteligencia artificial para envejecer un rostro y mostrar una imagen realista, ha puesto el punto de mira sobre un aspecto común en el que pocos usuarios reparan. Al instalarla, se advierte que todos nuestros datos serán utilizados e incluso cedidos a terceros, por lo que se pierde el control.
En este caso se avisa en un proceso que pocos usuarios leen o que aceptan sin pensar en las consecuencias. Pero algunos programas para móviles pueden no necesitar ni siquiera el consentimiento explícito. Miles de aplicaciones burlan las limitaciones y espían, aunque no se les autorice.
¿Para qué necesita la linterna del móvil acceder a la ubicación de un usuario? ¿Y una aplicación de retoque fotográfico al micrófono? ¿O una grabadora a los contactos? En principio, estas apps no precisan de este tipo de permisos para su funcionamiento.
Cuando acceden a ellos, suele ser en búsqueda de un bien sumamente valioso: los datos. Los usuarios pueden dar o denegar diferentes permisos a las aplicaciones para que accedan a su ubicación, los contactos o los archivos almacenados en el teléfono. Pero una investigación de un equipo de expertos en ciberseguridad ha revelado que hasta 12.923 apps han encontrado la forma de seguir recopilando información privada pese a haberles negado los permisos explícitamente.
Este estudio pone de manifiesto la dificultad de los usuarios de salvaguardar su privacidad. Investigadores del Instituto Internacional de Ciencias Computacionales (ICSI) en Berkeley, IMDEA Networks Institute de Madrid, la Universidad de Calgary y AppCensus han analizado un total de 88.000 aplicaciones de la Play Store y han observado cómo miles de aplicaciones acceden a información como la ubicación o datos del terminal que el usuario les había denegado previamente.
Los expertos aún no han hecho pública la lista completa de apps que realizan estas prácticas. Pero según la investigación, se encuentran entre ellas la aplicación del parque de Disneyland en Hong Kong, el navegador de Samsung o el buscador chino Baidu. El número de usuarios potenciales afectados por estos hallazgos es de “cientos de millones”.
Borja Adsuara, abogado experto en derecho digital, asegura que se trata de “una infracción muy grave” porque el sistema operativo Android requiere que las apps pidan el acceso consentido a estos datos a través de permisos y el usuario les dice expresamente que no. El consentimiento, según explica, funciona de forma muy parecida tanto en la intimidad física como en la no física —datos personales—. “Es como en el caso de una violación en el que la víctima dice expresamente que no”, afirma.
Narseo Vallina-Rodríguez, coautor del estudio, señala que “no está claro si habrá parches o actualizaciones para los miles de millones de usuarios Android que a día de hoy utilizan versiones del sistema operativo con estas vulnerabilidades». Google no ha concretado a este periódico si tiene pensado retirar del mercado o tomar alguna medida en relación a las aplicaciones que, según el estudio, acceden a los datos de los usuarios sin el permiso pertinente. No obstante, ha asegurado que el problema se resolverá con Android Q, la próxima versión de su sistema operativo. La compañía pretende lanzar a lo largo del año seis versiones beta antes de dar a conocer la versión final durante el tercer trimestre del año.
¿Cómo acceden las aplicaciones a información privada del usuario sin los permisos necesarios? Las apps burlan los mecanismos de control del sistema operativo mediante los side channels y los covert channels. Vallina hace la siguiente comparación: “Para entrar en una casa [el dato del usuario] puedes hacerlo por la puerta con la llave que te ha dado el dueño [el permiso], pero también lo puedes hacer sin consentimiento del propietario aprovechándote de una vulnerabilidad de la puerta [un side channel] o con la ayuda de alguien que ya está dentro [covert channel]».
Puedes abrir una puerta con una llave, pero también puedes encontrar la forma de hacerlo sin tener esa llave”. Lo mismo ocurre al intentar acceder a la geolocalización de un terminal. Puedes no tener acceso al GPS, pero hallar el modo de acceder a la información del posicionamiento del usuario.
Metadatos
Una forma de hacerlo es a través de los metadatos que están integrados en las fotografías sacadas por el propietario del smartphone, según Vallina. «Por defecto, cada fotografía que saca un usuario Android contiene metadatos como la posición y la hora en la que se han tomado. Varias apps acceden a la posición histórica del usuario pidiendo el permiso para leer la tarjeta de memoria, porque ahí es donde están almacenadas las fotografías, sin tener que pedir acceso al GPS”, afirma. Es el caso de Shutterfly, una aplicación de edición de fotografía. Los investigadores han comprobado que recababa información de coordenadas de GPS a partir de las imágenes de los usuarios pese a que le hubieran denegado el permiso para acceder a su ubicación.
También es posible acceder a la geolocalización a través del punto de acceso wifi con la dirección MAC del router, un identificador asignado por el fabricante que se puede correlacionar con bases de datos existentes para averiguar la posición del usuario “con una resolución bastante precisa”.
Para que la aplicación pueda acceder a esta información, existe un permiso que el usuario debe activar en su smartphone llamado “información de la conexión wifi”, según explica Vallina. Pero hay apps que consiguen obtener estos datos sin que el permiso esté activado. Para hacerlo, extraen la dirección MAC del router que el terminal obtiene mediante el protocolo ARP (Address Resolution Protocol), que se usa para conectar y descubrir los dispositivos que están en una red local. Es decir, las aplicaciones pueden acceder a un fichero que expone la información MAC del punto de acceso wifi: “Si lees ese fichero que el sistema operativo expone sin ningún tipo de permiso, puedes saber la geolocalización de forma totalmente opaca para el usuario”.
Librerías de terceros
Muchas de estas filtraciones de datos o abusos a la privacidad del usuario se realizan por librerías, que son servicios o miniprogramas de terceros incluidos en el código de las aplicaciones. Estas librerías se ejecutan con los mismos privilegios que la app en la que se encuentran. En muchas ocasiones, el usuario no es consciente de que existen. “Muchos de esos servicios tienen un modelo de negocio que está basado en la obtención y el procesado de los datos personales”, afirma el investigador.
Por ejemplo, aplicaciones como la del parque de Disneyland de Hong Kong utilizan el servicio de mapas de la compañía china Baidu. De esta forma, pueden acceder sin necesidad de tener ningún permiso a información como el IMEI y otros identificadores que las librerías del buscador chino almacenan en la tarjeta SD. Las aplicaciones de salud y navegación de Samsung, que están instaladas en más de 500 millones de dispositivos, también han utilizado este tipo de librerías para su funcionamiento. “La propia librería explota esas vulnerabilidades para acceder a esos datos para sus propios fines. No está claro si luego el desarrollador de la app accede a esos datos a través de la librería”, explica.
Vallina afirma que en las próximas investigaciones analizarán el ecosistema de las librerías de terceros y para qué fines se obtienen los datos. También estudiarán los modelos de monetización que existen en Android y la transparencia de las aplicaciones en cuanto a lo que hacen y lo que dicen hacer en las políticas de privacidad. Para evitar este tipo de prácticas, el también coautor del estudio Joel Reardon señala la importancia de realizar investigaciones de este tipo con el objetivo de “encontrar estos errores y prevenirlos”.
Si los desarrolladores de aplicaciones pueden eludir los permisos, ¿tiene sentido pedir permiso a los usuarios? “Sí”, responde tajante Reardon. El investigador hace hincapié en que las aplicaciones no pueden burlar todos los mecanismos de control y que poco a poco lo tendrán más difícil. “El sistema de permisos tiene muchos fallos, pero aún así sirve y persigue un propósito importante”, afirma.
Responsabilidad de los desarrolladores
Estas prácticas realizadas sin el consentimiento de los usuarios incumplen, entre otras normativas, el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos. Los desarrolladores de estas aplicaciones podrían enfrentarse, según el RGPD, a sanciones económicas de hasta 20 millones de euros o el 4% de la facturación anual de la empresa. E incluso podrían constituir un delito contra la intimidad (artículo 197 del Código Penal) que podría conllevar penas de prisión, según Adsuara.
El abogado sostiene que la mayor parte de la responsabilidad recae en los desarrolladores. Pero considera que tanto las tiendas —Google Play y Apple Store— como las plataformas que dan acceso a las aplicaciones a los datos de sus usuarios —como Facebook en el caso Cambridge Analytica— tienen una responsabilidad in vigilando: “Es decir, el deber de vigilar que las aplicaciones que aceptan en su tienda o a las que dan acceso a los datos de sus usuarios en su plataforma sean seguras”.
“Aunque cada uno es responsable de sus actos, se echa en falta alguna autoridad española o europea que revise la seguridad de las aplicaciones y servicios TIC antes de lanzarlas al mercado”, afirma. Y subraya que en otros sectores sí existe algún tipo de certificación que garantiza que un producto o servicio es seguro: “A nadie se le ocurre, por ejemplo, que se autorice la circulación de coches a los que les fallan los frenos. Y ya no digamos medicinas, alimentos o juguetes. Sin embargo, es normal en el sector TIC que se lancen al mercado aplicaciones y servicios con agujeros de seguridad, que luego, sobre la marcha, se van parcheando”.