No només FaceApp: milers d’aplicacions espien encara que se’ls denegui el permís
Gairebé 13.000 ‘apps’ esquiven els permisos d'Android per recopilar dades dels usuaris
El cas de FaceApp, l'aplicació que utilitza intel·ligència artificial per envellir un rostre i mostrar una imatge realista, ha posat el punt de mira sobre un aspecte comú que pocs usuaris tenen en compte. En instal·lar-la, s'adverteix que totes les nostres dades s'utilitzaran i fins i tot se cediran a tercers, per la qual cosa se'n perd el control. En aquest cas s'avisa en un procés que pocs usuaris llegeixen o que accepten sense pensar en les conseqüències. Però alguns programes per a mòbils pot ser que ni tan sols necessitin un consentiment explícit. Milers d'aplicacions esquiven les limitacions i espien, tot i que no se'ls autoritzi a fer-ho.
Per què necessita la llanterna del mòbil accedir a la ubicació d'un usuari? I una aplicació de retoc fotogràfic al micròfon? O una gravadora als contactes? En principi, aquestes apps no necessiten aquest tipus de permisos per funcionar. Quan hi accedeixen, acostuma a ser en recerca d'un bé summament valuós: les dades. Els usuaris poden donar o denegar diferents permisos a les aplicacions perquè accedeixin a la ubicació, els contactes o els arxius emmagatzemats al telèfon. Però una investigació d'un equip d'experts en ciberseguretat ha revelat que fins a 12.923 apps han trobat la manera de seguir recopilant informació privada malgrat haver-los denegat els permisos explícitament.
Aquest estudi mostra la dificultat dels usuaris per salvaguardar la seva privadesa. Investigadors de l'Institut Internacional de Ciències Computacionals (ICSI) a Berkeley, IMDEA Networks Institute de Madrid, la Universitat de Calgary i AppCensus han analitzat un total de 88.000 aplicacions de la Play Store i han observat com milers d'aplicacions accedeixen a informació com la ubicació o les dades del terminal que l'usuari els havia denegat prèviament.
Els experts encara no han fet pública la llista completa d'apps que duen a terme aquestes pràctiques. Però segons la investigació, entre aquestes hi ha l'aplicació del parc de Disneyland a Hong Kong, el navegador de Samsung o el cercador xinès Baidu. El nombre d'usuaris potencials afectats és de “centenars de milions”.
Borja Adsuara, advocat expert en dret digital, assegura que es tracta d'“una infracció molt greu” perquè el sistema operatiu Android requereix que les apps demanin l'accés consentit a aquestes dades a través de permisos i l'usuari els diu expressament que no. El consentiment, segons explica, funciona d'una manera molt semblant tant en la intimitat física com en la no física —dades personals—. “És com en el cas d'una violació en què la víctima diu expressament que no”, afirma.
Narseo Vallina-Rodríguez, coautor de l'estudi, assenyala que “no queda clar si hi haurà pegats o actualitzacions per als milers de milions d'usuaris Android que a dia d'avui utilitzen versions del sistema operatiu amb aquestes vulnerabilitats". Google no ha concretat a aquest diari si té pensat retirar del mercat o prendre alguna mesura en relació amb les aplicacions que, segons l'estudi, accedeixen a les dades dels usuaris sense el permís corresponent. No obstant això, ha assegurat que el problema es resoldrà amb Android Q, la propera versió del seu sistema operatiu. La companyia pretén llançar al llarg de l'any sis versions beta abans de donar-ne a conèixer la versió final durant el tercer trimestre de l'any.
Com accedeixen les aplicacions a informació privada de l'usuari sense els permisos necessaris? Les apps esquiven els mecanismes de control del sistema operatiu mitjançant els side channels i els covert channels. Vallina fa la següent comparació: “Per entrar en una casa [la dada de l'usuari] pots fer-ho per la porta amb la clau que t'ha donat el propietari [el permís], però també ho pots fer sense consentiment del propietari aprofitant-te d'una vulnerabilitat de la porta [un side channel] o amb l'ajuda d'algú que ja és dins [covert channel]".
Pots obrir una porta amb una clau, però també pots trobar la manera de fer-ho sense tenir aquesta clau”. El mateix passa a l'hora d'intentar accedir a la geolocalització d'un terminal. Pots no tenir accés al GPS, però trobar la manera d'accedir a la informació del posicionament de l'usuari.
Metadades
Una manera de fer-ho és mitjançant les metadades que estan integrades en les fotografies que fa l'usuari del mòbil, segons Vallina. "Per defecte, cada fotografia que fa un usuari Android conté metadades com la posició i l'hora en què s'ha fet. Diverses apps accedeixen a la posició històrica de l'usuari demanant el permís per llegir la targeta de memòria, perquè aquí és on estan emmagatzemades les fotografies, sense haver de demanar accés al GPS”, afirma. És el cas de Shutterfly, una aplicació d'edició de fotografia. Els investigadors han comprovat que recaptava informació de coordenades de GPS a partir de les imatges dels usuaris malgrat que li haguessin denegat el permís per accedir a la seva ubicació.
També és possible accedir a la geolocalització a través del punt d'accés wifi amb l'adreça MAC del router, un identificador assignat pel fabricant que es pot correlacionar amb bases de dades existents per esbrinar la posició de l'usuari “amb una resolució força precisa”.
Perquè l'aplicació pugui accedir a aquesta informació, hi ha un permís que l'usuari ha d'activar al mòbil anomenat “informació de la connexió wifi”, segons explica Vallina. Però hi ha apps que aconsegueixen obtenir aquestes dades sense que el permís estigui activat. Per fer-ho, extreuen l'adreça MAC del router que el terminal obté mitjançant el protocol ARP (address resolution protocol), que es fa servir per connectar i descobrir els dispositius que hi ha en una xarxa local. És a dir, les aplicacions poden accedir a un fitxer que exposa la informació MAC del punt d'accés wifi: “Si llegeixes aquest fitxer que el sistema operatiu exposa sense cap tipus de permís, pots saber la geolocalització d'una manera totalment opaca per a l'usuari”.
Llibreries de tercers
Moltes d'aquestes filtracions de dades o abusos a la privadesa de l'usuari es fan per llibreries, que són serveis o miniprogrames de tercers inclosos en el codi de les aplicacions. Aquestes llibreries s'executen amb els mateixos privilegis que té l'app en què es troben. En moltes ocasions, l'usuari no és conscient que hi són. “Molts d'aquests serveis tenen un model de negoci que es basa en l'obtenció i el processament de les dades personals”, afirma l'investigador.
Per exemple, aplicacions com la del parc de Disneyland de Hong Kong utilitzen el servei de mapes de la companyia xinesa Baidu. D'aquesta manera, poden accedir sense necessitat de tenir cap permís a informació com l'IMEI i altres identificadors que les llibreries del cercador xinès emmagatzemen a la targeta SD. Les aplicacions de salut i navegació de Samsung, que estan instal·lades en més de 500 milions de dispositius, també han utilitzat aquest tipus de llibreries per funcionar. “La mateixa llibreria explota aquestes vulnerabilitats per accedir a aquestes dades per a les seves pròpies finalitats. No queda clar si després el desenvolupador de l'app accedeix a aquestes dades a través de la llibreria”, explica.
Vallina afirma que en les properes investigacions analitzaran l'ecosistema de les llibreries de tercers i per a quines finalitats s'obtenen les dades. També estudiaran els models de monetització que existeixen a Android i la transparència de les aplicacions sobre què fan i què diuen que fan en les polítiques de privadesa. Per evitar aquest tipus de pràctiques, el també coautor de l'estudi Joel Reardon assenyala la importància de fer investigacions d'aquesta mena amb l'objectiu de “trobar aquests errors i prevenir-los”.
Si els desenvolupadors d'aplicacions poden eludir els permisos, té sentit demanar permís als usuaris? “Sí”, respon taxatiu Reardon. L'investigador posa l'accent en el fet que les aplicacions no poden esquivar tots els mecanismes de control i que a poc a poc ho tindran més difícil. “El sistema de permisos té molts errors, però tot i això serveix i persegueix un propòsit important”, afirma.
Responsabilitat dels desenvolupadors
Aquestes pràctiques realitzades sense el consentiment dels usuaris incompleixen, entre altres normatives, el Reglament General de Protecció de Dades (RGPD) i la Llei Orgànica de Protecció de Dades. Els desenvolupadors d'aquestes aplicacions podrien haver d'afrontar, segons el RGPD, a sancions econòmiques de fins a 20 milions d'euros o el 4% de la facturació anual de l'empresa. I fins i tot podrien constituir un delicte contra la intimitat (article 197 del Codi Penal) que podria comportar penes de presó, segons Adsuara.
L'advocat sosté que bona part de la responsabilitat recau en els desenvolupadors. Però considera que tant les botigues —Google Play i Apple Store— com les plataformes que donen accés a les aplicacions a les dades dels seus usuaris —com Facebook en el cas de Cambridge Analytica— tenen una responsabilitat invigilant: “És a dir, el deure de vigilar que les aplicacions que accepten a la seva botiga o a les quals donen accés a les dades dels seus usuaris a la seva plataforma siguin segures”.
“Encara que cadascú és responsable dels seus actes, es troba a faltar alguna autoritat espanyola o europea que revisi la seguretat de les aplicacions i serveis TIC abans de llançar-les al mercat”, afirma. I subratlla que en altres sectors sí que hi ha algun tipus de certificació que garanteix que un producte o servei és segur: “A ningú se li passa pel cap, per exemple, que s'autoritzi la circulació de cotxes amb frens que fallen. I ja no diguem medicaments, aliments o joguines. No obstant això, és normal en el sector TIC que es llancin al mercat aplicacions i serveis amb forats de seguretat, i que després, sobre la marxa, s'hi vagin posant pegats”.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.