Los investigadores de seguridad de Pradeo han descubierto que dos aplicaciones de administración de archivos subidas a Google Play (con más de 1,5 millones de descargas) recopilaban más datos de los estrictamente necesarios para su correcto funcionamiento y los enviaban a china.
Estas infames aplicaciones, (ambas del mismo editor, un tal «wang tom»), pueden iniciarse sin ninguna interacción por parte del usuario para robar datos confidenciales y enviarlos a servidores ubicados en este país asiático.
- Lista de contactos de los usuarios.
- Cuentas de correo electrónico y de redes sociales.
- Imágenes, audio y video.
- Ubicación del usuario en tiempo real.
- Código del país.
- Nombre del proveedor de red.
- SIM.
- Número de versión del sistema operativo.
- Marca y modelo del dispositivo.
Para empeorar las cosas, estos datos se recopilan en secreto y sin obtener el consentimiento del dueño del dispositivo.
También abusaban de los permisos otorgados durante la instalación para reiniciar el dispositivo y ejecutarlo en segundo plano.
Y para dificultar su desinstalación, ocultaban los iconos a la vista del usuario.
Los perfiles de Google Play sobre estas dos aplicaciones anunciaban que no recopilaban ningún dato de los dispositivos de los usuarios, lo que resultó ser falso.
Además, anunciaban tranquilamente que en caso de recopilaros, los usuarios no podrían solicitar su eliminación, lo que va en contra de la mayoría de las leyes de protección de datos como el RGPD.
Según Pradeo, probablemente el desarrollador utilizó emuladores o granjas de teléfonos inteligentes para poder aumentar el número de instalaciones de sus aplicaciones.
Y la mayoría de nosotros, cuando vemos una aplicación con más de un millón de instalaciones, pensamos que es fiable.
Pero si el número de reseñas de los usuarios no coincide con la cantidad de instalaciones, debemos sospechar de que algo no cuadra.
No tiene sentido que un programa se haya descargado un millón de veces, y solo tenga cien reseñas.
Por lo tanto, hay que ser muy escépticos, no tomarse al pie de la letra las afirmaciones de los desarrolladores (no siempre reflejan la verdadera naturaleza de las aplicaciones.), y sobre todo no instalar cualquier cosa en nuestros dispositivos sin antes contrastarlo.
Si bien la gente de Google afirma ya se han eliminado, el daño ya está hecho.
