El caso de FaceApp, la aplicación que utiliza inteligencia artificial para envejecer un rostro y mostrar una imagen realista, puso bajo la lupa nuevamente los permisos que el usuario le da a las apps sobre sus datos.

En este caso se avisa en un proceso que pocos usuarios leen o que aceptan sin pensar en las consecuencias, pero algunos programas para móviles pueden no necesitar ni siquiera el consentimiento explícito. Miles de aplicaciones burlan las limitaciones y espían, aunque no se les autorice.

¿Para qué necesita la linterna del móvil acceder a la ubicación de un usuario? ¿Y una aplicación de retoque fotográfico al micrófono? ¿O una grabadora a los contactos? En principio, estas apps no precisan de este tipo de permisos para su funcionamiento. Cuando acceden a ellos, suele ser en búsqueda de un bien sumamente valioso: los datos.

Los usuarios pueden dar o denegar diferentes permisos a las aplicaciones para que accedan a su ubicación, los contactos o los archivos almacenados en el teléfono. Pero una investigación de un equipo de expertos en ciberseguridad ha revelado que hasta 12.923 apps han encontrado la forma de seguir recopilando información privada pese a haberles negado los permisos explícitamente, asegura el diario español El País.

Investigadores del Instituto Internacional de Ciencias Computacionales (ICSI) en Berkeley, IMDEA Networks Institute de Madrid, la Universidad de Calgary y AppCensus han analizado un total de 88.000 aplicaciones de la Play Store y han observado cómo miles de aplicaciones acceden a información como la ubicación o datos del terminal que el usuario les había denegado previamente.

Los expertos aún no han hecho pública la lista completa de apps que realizan estas prácticas. Pero según la investigación, se encuentran entre ellas la aplicación del parque de Disneyland en Hong Kong, el navegador de Samsung o el buscador chino Baidu. El número de usuarios potenciales afectados por estos hallazgos es de "cientos de millones".

Borja Adsuara, abogado experto en derecho digital, asegura que se trata de "una infracción muy grave" porque el sistema operativo Android requiere que las apps pidan el acceso consentido a estos datos a través de permisos y el usuario les dice expresamente que no. El consentimiento, según explica, funciona de forma muy parecida tanto en la intimidad física como en la no física —datos personales—.

"Es como en el caso de una violación en el que la víctima dice expresamente que no", afirma.

Narseo Vallina-Rodríguez, coautor del estudio, señala que "no está claro si habrá parches o actualizaciones para los miles de millones de usuarios Android que a día de hoy utilizan versiones del sistema operativo con estas vulnerabilidades".

Cómo burlan los mecanismos de control las apps y acceden a tus datos

Las apps burlan los mecanismos de control del sistema operativo mediante los side channels y los covert channels. Vallina hace la siguiente comparación: "Para entrar en una casa (el dato del usuario) puedes hacerlo por la puerta con la llave que te ha dado el dueño (el permiso), pero también lo puedes hacer sin consentimiento del propietario aprovechándote de una vulnerabilidad de la puerta (un side channel) o con la ayuda de alguien que ya está dentro (covert channel)".

Puedes abrir una puerta con una llave, pero también puedes encontrar la forma de hacerlo sin tener esa llave".

Lo mismo ocurre al intentar acceder a la geolocalización de un terminal. Puedes no tener acceso al GPS, pero hallar el modo de acceder a la información del posicionamiento del usuario.

Una forma de hacerlo es a través de los metadatos que están integrados en las fotografías sacadas por el propietario del smartphone, según Vallina.

"Por defecto, cada fotografía que saca un usuario Android contiene metadatos como la posición y la hora en la que se han tomado. Varias apps acceden a la posición histórica del usuario pidiendo el permiso para leer la tarjeta de memoria, porque ahí es donde están almacenadas las fotografías, sin tener que pedir acceso al GPS", afirma.

Es el caso de Shutterfly, una aplicación de edición de fotografía. Los investigadores han comprobado que recababa información de coordenadas de GPS a partir de las imágenes de los usuarios pese a que le hubieran denegado el permiso para acceder a su ubicación.

También es posible acceder a la geolocalización a través del punto de acceso wifi con la dirección MAC del router, un identificador asignado por el fabricante que se puede correlacionar con bases de datos existentes para averiguar la posición del usuario "con una resolución bastante precisa".

Para que la aplicación pueda acceder a esta información, existe un permiso que el usuario debe activar en su smartphone llamado "información de la conexión wifi", según explica Vallina.

Pero hay apps que consiguen obtener estos datos sin que el permiso esté activado. Para hacerlo, extraen la dirección MAC del router que el terminal obtiene mediante el protocolo ARP (Address Resolution Protocol), que se usa para conectar y descubrir los dispositivos que están en una red local. Es decir, las aplicaciones pueden acceder a un fichero que expone la información MAC del punto de acceso wifi: "Si lees ese fichero que el sistema operativo expone sin ningún tipo de permiso, puedes saber la geolocalización de forma totalmente opaca para el usuario".