Más de 1.300 apps te siguen espiando el móvil aunque no les hayas dado permiso, y entre las implicadas están Samsung, Baidu o Disney

• Una investigación académica revela que más de 1.300 aplicaciones han estado robando datos de dispositivos Android aun cuando los usuarios denegaban los permisos para ello.
• Son los resultados de un exhaustivo estudio que ha analizado más de 88.000 apps en el sistema operativo de Google, quien ha confirmado que subsanará estos problemas en Android 10.
• En la investigación han participado dos investigadores españoles; ambos a través del Instituto Madrileño de Estudios Avanzados (IMDEA).
• Algunas de las herramientas que hacen esta práctica son la app oficial del Disneyland de Hong Kong, navegadores de Samsung o una conocida app para editar fotos, Shutterfly.
• Descubre más historias en Business Insider España.

Más de 1.300 aplicaciones en Android recopilan información de tu teléfono a pesar de que les hayas denegado los permisos para hacerlo. Este es el resultado de una investigación realizada por el Instituto Internacional de Ciencias de la Computación en colaboración con el IMDEA, Instituto Madrileño de Estudios Avanzados.

El artículo, que fue presentado ante la Comisión Federal del Comercio de los Estados Unidos a finales de junio, detalla que más de un millar de estas aplicaciones violan los permisos que los usuarios de Android les dan para recopilar datos de sus teléfonos, como por ejemplo los relativos a las conexiones a redes WiFi o los metadatos de las fotos.

Todavía no ha trascendido la lista completa de apps implicadas —será presentada en un congreso en los EEUU a mediados de agosto—, pero sí se ha desvelado que algunas de estas aplicaciones son la app oficial para el parque de atracciones Disnelyland en Hong Kong, o los navegadores oficiales de Samsung o Samsung Health.

Leer más: Un experto revela cómo el malvado software espía usado en el hackeo de WhatsApp permite a los gobiernos acceder en secreto a todo lo que hay en tu móvil

CNET, portal que ha publicado un artículo sobre esta investigación, se ha puesto en contacto con Disney y Baidu —la desarrolladora de la app para el parque de atracciones—, así como con Samsung, pero ninguna ha querido hacer declaraciones al respecto.

Cómo se saltan los permisos de Android estas apps

Al instalar una aplicación en tu Android, puedes elegir qué permisos darle a los programas y cuáles no. Así, puedes impedir a una app cuya función sea la de hacer de linterna en el teléfono —por ejemplo— no recopile datos sobre tu ubicación.

Sin embargo, los investigadores descubrieron que, de más de 88.000 aplicaciones analizadas, al menos 1.325 violaban la denegación de permisos. Para ello, utilizan atajos ocultos en su código. Si les impides acceder a los datos de tu teléfono sobre tu localización, estas apps estarían utilizando los metadatos de tus fotos o tus conexiones a redes WiFi para averiguar igualmente dónde te encuentras.

Uno de los autores de la investigación es el director de Usabilidad, Seguridad y Privacidad del Instituto Internacional de Ciencias de la Computación, ubicado en Berkeley, California. Serge Egelman ha recordado a CNETque los consumidores tienen "muy pocas herramientas que puedan utilizar para hacer un control razonable de su privacidad".

"Si los desarrolladores de aplicaciones pueden sortear la protección del sistema, pedirle permisos a los usuarios no sirve de nada", ha lamentado.

Google corregirá estos problemas en la próxima gran actualización de Android

Mientras se espera que el lanzamiento de Android 10 se dé a finales de este año, Google ya ha confirmado —a instancias de estos investigadores— que corregirán estos problemas con esta gran actualización: se protegerán los metadatos de las fotos y todas aquellas apps que hagan uso de redes WiFi también tendrán que preguntar al usuario si le dan permiso para acceder a datos sobre la localización del dispositivo.

Leer más: Los hackers de WhatsApp todavía tienen acceso a cientos de miles de números de teléfono porque la gente no está actualizando la app

Una de las apps implicadas es Shutterfly, una aplicación para la edición de fotos. Ha estado recopilando coordenadas GPS de los metadatos de las fotos de sus usuarios y enviándolas a sus propios servidores a pesar de que los consumidores declinaban su autorización. Una portavoz de Shutterfly ha defendido ante CNET que solo recopilan datos con el permiso explícito del usuario, a pesar de lo que han desvelado los investigadores.

"Como muchos otros servicios de fotografía, Shutterfly ysa los datos para mejorar la experiencia de usuario con recomendaciones personalizadas", dijo la firma en un comunicado.

Dos españoles han participado en esta investigación

El profesor del Instituto Madrileño de Estudios Avanzados, Narseo Vallina-Rodríguez, y su alumno, Álvaro Feal, de la Universidad Carlos III de Madrid, han participado en esta relevante investigación a nivel internacional que ya ha sido presentada ante el Gobierno de los Estados Unidos y sobre la que se ampliará información en agosto.

El equipo, encabezado por Egelman y otros investigadores del ICSI o de la Universidad de California, como Primal Wijesekera, Amit Elazari, fue presentado el pasado 28 de junio en una conferencia sobre privacidad que se divulgó ante la Comisión Federal del Comercio estadounidense.

Será el próximo 15 de agosto cuando se amplíen los detalles de las 1.325 apps implicadas en este robo masivo de datos en una conferencia sobre seguridad que se impartirá en el marco de un congreso de la fundación USENIX.