STI 2020 ®

Aplicaciones para teléfonos móviles.

Gestión segura de los permisos en apps: protege tu privacidad

by

STI 2020®
in , , , , , , ,

Cuando instalamos o comenzamos a utilizar una nueva aplicación en nuestro móvil, lo más normal es que nos solicite aceptar ciertos permisos antes de usarla. Hacerlo sin pensar o no conociendo su alcance, puede exponernos a graves riesgos de privacidad y seguridad. Hay permisos que son razonables y necesarios para que funcione correctamente. Pero, otros pueden ir más allá de lo necesario. Incluso, pueden tener fines maliciosos. Es importante saber cuáles conviene autorizar y cuáles es mejor bloquear. Por ello, vamos a profundizar en ese aspecto en esta publicación.

¿En qué consisten los permisos?

La ventana emergente de permisos de una aplicación, es un diálogo entre el sistema operativo del móvil y el usuario. Informa sobre el acceso a datos o funciones y solicita aprobación para ello.

Históricamente, las solicitudes de permisos aparecían antes de instalar la app. Las nuevas versiones de iOS las muestran al ejecutar la app. Android combina ambos enfoques, pidiendo algunos permisos durante la instalación y otros en uso.

Desde Android 6.0, los permisos se dividen en «normales» (como el acceso a Internet), que se conceden automáticamente y permisos «delicados» (como ubicación y acceso al micrófono), que requieren aprobación en tiempo de ejecución. Android ha añadido permisos adicionales, como la ubicación en segundo plano y el envío de notificaciones, utilizando iOS un enfoque similar.

Los permisos son esenciales para que los desarrolladores ofrezcan experiencias fluidas. Ambos sistemas operativos, han implementado medidas para reducir riesgos al conceder permisos amplios, pero al final, debemos ser nosotros quienes decidimos qué permisos otorgar o rechazar.

Los peligros de los permisos de las aplicaciones

Algunas aplicaciones solicitan más acceso del necesario, como un juego que pide permiso para acceder a nuestros contactos o una calculadora, que requiere el uso del micrófono o cámara. Estas solicitudes, deberían levantar nuestras sospechas.

Si aceptamos permisos sin evaluarlos, podríamos permitir que desarrolladores malintencionados, accedan a datos sensibles en nuestro smartphone, como calendario, mensajes, archivos, contactos, ubicación y más. Además, mediante el uso de ciertos permisos críticos, podrían capturar lo que aparece en nuestra pantalla.

Mediante permisos excesivos, una aplicación maliciosa podría:

  • Robar las contraseñas de nuestras cuentas más sensibles, incluida la de banca online.
  • Interceptar códigos SMS de un solo uso.
  • Inscribirnos sin nuestro consentimiento en servicios de suscripción premium.
  • Crear un perfil detallado de nuestra vida o actividad digital, para venderlo a «sus socios».
  • También, puede poner en riesgo nuestra seguridad física, realizando un seguimiento constante de nuestra ubicación, activar la cámara o el micrófono, para convertir nuestro smartphone en un dispositivo de escucha, cifrar archivos y exigir un rescate, como en los ataques de ransomware o incluso instalar otros tipos de malware, incluidos infostealers y software espía.

Las aplicaciones de asistentes de inteligencia artificial, representan un riesgo creciente en materia de permisos. Muchas, solicitan acceso al micrófono para detectar palabras de activación, así como permisos para acceder a contactos, calendario e incluso al contenido de la pantalla. Por ello, es recomendable aplicar el mismo nivel de escrutinio a estas apps que a cualquier otra categoría, sin dejarnos llevar por su apariencia de herramienta avanzada.

Otro ámbito, donde se subestima la exposición es el de los datos de salud y actividad física. Las aplicaciones que acceden a nuestras métricas corporales, como frecuencia cardíaca, pasos, patrones de sueño, pueden compartir o vender dicha información, lo que puede afectar nuestras opciones al contratar un seguro y alimentar el mercado del «tráfico» de datos.

Lista de permisos solicitados por una app de préstamos maliciosa.
Este es un ejemplo, de los permisos solicitados por una app de préstamos maliciosa. Fuente: ESET Research.

¿Qué permisos deberían activar las alarmas?

Los permisos, dependen del contexto en que se vayan a utilizar. Lo que una aplicación necesita para ofrecer la experiencia deseada, puede diferir de los permisos de otra. Sin embargo, hay permisos que siempre deberían generar preocupación, como por ejemplo:

  • Servicios de accesibilidad: conocidos como “modo Dios”, pueden permitir a desarrolladores malintencionados ver lo que escribimos y leer nuestros mensajes. Este permiso, no está disponible de forma nativa en iOS, y las versiones recientes de Android, requieren confirmación periódica para continuar concediéndolo.
  • Ubicación en segundo plano: puede facilitar que un actor malicioso, rastree nuestro dispositivo a cada lugar al que vamos y cree un perfil detallado de nuestra vida diaria. Para mitigar este riesgo, Android e iOS no permiten activar “permitir siempre” de entrada, y periódicamente nos pedirán reconfirmarlo.
  • SMS / registros de llamadas: pocas aplicaciones, realmente necesitan acceso a nuestros mensajes de texto o historial de llamadas. Con este, un atacante podría leer códigos de un solo uso y secuestrar cuentas. En Android, una app sólo puede solicitar estos permisos si se registra como predeterminada. iOS, no permite que las apps de la App Store pidan permiso para “leer SMS” o “ver el historial de llamadas”.
  • Permiso de superposición (overlay): permite que una app muestre una ventana por encima de otra, lo que puede habilitar ataques de clickjacking. Android requiere activarlo en Ajustes > Apps > Acceso especial > Mostrar sobre otras apps. iOS no tiene un permiso equivalente.

¿Cómo gestionar los permisos de forma segura?

Antes de permitir o bloquear un permiso, debemos considerar si es realmente necesario para la aplicación. Es una buena práctica, elegir “permitir una vez” o “permitir sólo mientras se usa”. Sólo las aplicaciones de seguridad, deberían tener acceso permanente. Aunque muchas aplicaciones nos pedirán revisar nuestros permisos, es recomendable hacer una auditoría proactiva. Explicamos a continuación cómo:

En iOS

  • Iremos hasta Configuración > Privacidad y seguridad.
  • Nos desplazamos hasta el final y activaremos el Informe de privacidad de las apps.
  • En dicho apartado, podremos ver qué aplicaciones accedieron a nuestros datos y en qué momento lo hicieron.

Otra modalidad de hacerlo, puede ser:

  • Iremos a Configuración > Apps.
  • Seleccionaremos una app específica como puede ser, Instagram.
  • Repasamos todas las opciones de permisos y desactivamos lo que no sea esencial.

En Android

  • Iremos a Ajustes > Seguridad y privacidad > Privacidad > Panel de privacidad.
  • Seleccionamos Vista de 7 días, en el menú superior derecho, para ver qué aplicaciones usaron nuestros sensores durante la última semana. Dichos pasos, pueden variar según el fabricante de nuestro dispositivo.
  • Si detectamos que una app usó el micrófono a una hora en la que no debería haberlo hecho, seleccionamos dicho registro y revocamos el permiso, de inmediato.

Otra opción puede ser, ya que las rutas pueden cambiar según la capa de Android que usemos:

  • Iremos a Ajustes > Apps > [Nombre de la app].
  • Verificamos que la opción “Gestionar app si no se usa” o “Pausar actividad si no se usa” esté activada.
  • Si no usamos la aplicación durante algunos meses, Android debe revocar los permisos de forma automática, borrar archivos temporales y desactivar las notificaciones.

Debemos instalar, en la medida de lo posible, aplicaciones sólo desde tiendas oficiales, como Google Play o App Store, y leer las opiniones de otros usuarios. Usar una app de seguridad móvil, de un proveedor confiable, puede reducir nuestro riesgo.

Descubre más desde STI 2020 ®

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Comentarios

Deja un comentario

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.