Las aplicaciones generalmente necesitan usar datos de nuestro dispositivo para funcionar, esto significa otorgarles ciertos permisos. El problema es que muchas de ellas reciben demasiados permisos que no deberían tener y que nos ponen en riesgo.
¿Un inútil repelente de mosquitos necesita realmente acceder al micrófono, a los mensajes de texto, al teléfono o a nuestros contactos?
Cómo funcionan las aplicaciones móviles
La mayoría de estas aplicaciones tienen una arquitectura cliente-servidor.
El cliente se ejecuta en el sistema operativo, que suele ser Android o iOS.
Este cliente se descarga en el dispositivo desde las plataformas de distribución de aplicaciones, donde los desarrolladores publican sus productos, es decir, el cliente instalado en el teléfono inteligente es la propia aplicación con la que el usuario interactúa.
El servidor, ya sea propio, dedicado, compartido o en la nube, es gestionado por el desarrollador de la aplicación y se encarga de recopilar y almacenar los datos que le envía el cliente (la aplicación) entre otras cosas, para proporcionar actualizaciones y parches de seguridad.
Pero también puede recopilar información, que no es estrictamente necesaria para su correcto funcionamiento.
Si le concedes ciertos permisos a una aplicación, podrá obtener información y subirla a la nube, de hecho, el desarrollador de la app, no tendrá que solicitar tu consentimiento explícito para cualquier cosa que quiera hacer con la información obtenida.
Por tanto, es recomendable reflexionar antes de conceder permisos a las aplicaciones, especialmente si no son estrictamente necesarios para que funcione.
La mayoría de los juegos no necesitan acceder a tus contactos o a tu cámara, las aplicaciones de mensajería no tienen por qué conocer tu ubicación y los filtros de tu cámara pueden sobrevivir sin tu historial de llamadas.
Permisos más habituales, y lo que implican
Teléfono
Concediendo este permiso se autoriza a la app leer el estado del teléfono, saber nuestro número, conocer el estado de la red móvil, hacer llamadas, conocer el histórico de las mismas, añadir mensajes de voz, gestionar llamadas, colgando o descolgando e incluso redireccionarnos a otro número. Muy peligroso si la app lleva malware.
Almacenamiento y Memoria
Ya sea el sistema de almacenamiento externo como la tarjeta SD o el almacenamiento interno del teléfono, con este permiso se autoriza a la aplicación a que acceda a los mismos, e incluso a que almacene archivos en nuestro dispositivo.
Una aplicación maliciosa podría ser capaz de leer, modificar y eliminar cualquiera de los documentos guardados: música, fotos y otros archivos.
Mensajes de texto y SMS
Permite que la app envíe mensajes de texto (SMS, MMS o incluso mensajes tipo Push WAP), lea los mensajes guardados y reciba otros de nuevos, con el consiguiente perjuicio económico para el usuario, si es suscrito a un servicio de tarificación adicional, o si la aplicación contiene algún tipo de malware, ya que podrá enviar software malicioso a tus contactos haciéndose pasar por ti.
Calendario
Permite tanto leer, como editar y crear nuevos eventos en el calendario. Un actor malintencionado podría obtener datos del usuario, como por ejemplo sus citas de trabajo y también de otras personas con las que tenga algun tipo de relación, ya sea personal o profesional.
Algo muy útil para perpetrar un ataque de phishing dirigido.
Cámara
Se permite a una app tomar fotos y grabar vídeos casi sin intervención del usuario.
Esto supone una violación de la privacidad, y podría usarse con fines maliciosos. Por ejemplo mediante la conexión a Internet, un atacante puede enviar las capturas a un servidor controlado por él, y hacer lo que quiera con estos datos.
Contactos
Con este permiso, la aplicación solicita poder consultar la lista de contactos, editarla, añadir nuevos y también acceder a la lista de servicios cuyo acceso tengamos activado a través del móvil.
Por supuesto, también puede recopilar los datos de nuestros contactos como números de teléfono y direcciones de correo electrónico.
Una aplicación maliciosa puede robar todo el contenido de tu libreta de direcciones y luego enviar spam a tus contactos, perpetrar estafas de phishing, etc.
Ubicación
Se permite que la app pueda geo localizarnos, a través del GPS, de las antenas de telefonía móvil o mediante la conexión wifi.
Es una de las más delicadas en lo referente a la privacidad. Alguien podría crear un perfil de tus hábitos diarios, y si nos ponemos paranoicos, incluso informar a los ladrones cuando no estás en casa.
Micrófono
Que una aplicación de grabación de voz necesite acceso al micrófono es lógico. Pero nos exponemos a que una mala configuración le permita grabar nuestras conversaciones telefónicas, o espiarnos en nuestra propia casa.
Y no es cómodo que una app pueda escuchar todo lo que decimos en la intimidad.
Sensores corporales
Estos permisos están ligados al uso de dispositivos como las pulseras de actividad.
Con ello podemos facilitar datos sobre nuestro estado de salud, que normalmente pertenecen a nuestra vida privada.
Otros tipos de permisos
Además de los permisos anteriores, Android también tiene privilegios de administrador y privilegios de root.
¿Qué son los privilegios de administrador del dispositivo?
Los privilegios de administrador del dispositivo (a veces llamados derechos de administrador) permiten que las aplicaciones cambien la contraseña de un dispositivo, bloqueen el teléfono o incluso borren permanentemente todos los datos.
Las aplicaciones maliciosas pueden usar estos privilegios en tu contra, pero también son importantes para algunas aplicaciones legítimas.
Por ejemplo, las aplicaciones de seguridad necesitan estos privilegios para permitir bloquear o borrar el dispositivo de forma remota en caso de pérdida o robo, por lo que es altamente recomendable instalar este tipo de aplicaciones solamente desde fuentes oficiales.
¿Qué son los privilegios de root?
Los privilegios de raíz son el santo grial de los permisos.
Mediante este permiso, el usuario obtiene un control ilimitado sobre su sistema operativo.
Por ejemplo, puede modificar los archivos del sistema, cambiar las aplicaciones, los iconos, los sonidos, las animaciones, las imágenes, etc.
También ofrece la posibilidad de desinstalar inútiles aplicaciones de terceros que vienen de fábrica con el dispositivo (Bloatware), acelerar el procesador, personalizar totalmente la apariencia del teléfono o instalar herramientas especializadas y ROMs personalizadas.
Sin duda, es una de las mejores maneras de aprovechar el verdadero potencial de un dispositivo Android, pero sin entrar en alarmismos, si no se hace correctamente, puede llegar a dañar irreparablemente el dispositivo, y representa un riesgo para la seguridad.
¿Qué permisos permitir y denegar?
Por supuesto, negar permisos a aplicaciones poco fiables es una de las mejores formas de mantener el teléfono y los datos que contiene a salvo.
En términos generales, los desarrolladores de aplicaciones generalmente solo solicitan los permisos imprescindibles, pero por muy buena reputación que tenga una aplicación, no hay que darle luz verde y permitirle todos los caprichos.
Es posible que no desees utilizar ciertas funciones vinculadas a la recopilación de datos, ya sea con fines de diagnóstico o para mandarte publicidad dirigida, o la geolocalización.
En general, considera si el permiso solicitado es apropiado para la aplicación y desconfía de aquellos que no parecen tener sentido para su correcto funcionamiento.
Las aplicaciones de mensajería ciertamente necesitarán acceder a tus contactos, SMS y probablemente también a la cámara y el micrófono para poder realizar videollamadas.
Pero probablemente no necesiten información sobre tu salud.
Recuerda, que siempre puedes consultar todos los permisos que solicita una aplicación antes de instalarla desde Google Play, y leer las opiniones dejadas por otros usuarios.
No instalar nada fuera de los canales oficiales, excepto aquellos que ofrezcan unas mínimas garantías
Por supuesto, hay vida fuera de Google Play, y existen alternativas como por ejemplo F-Droid o Aptoide, que ofrecen ciertas garantías, y son una buena opción para aquellos que quieren descargar software libre, versiones antiguas de una app, o aplicaciones que no están disponibles en un país en concreto.
Cuidado con las páginas de que ofrecen apps crackeadas
Pero también existen páginas web que ofrecen aplicaciones de pago de forma totalmente gratuita.
Puede parecer tentador, pero muchas de ellas están infestadas de basura o troyanizadas.
En algunos de estos sitios, los archivos APK son subidos por terceros.
No existen filtros de seguridad y no hay medidas de protección, por lo que cualquier persona puede subir un archivo APK infectado con virus, adware u otro software malicioso.
Si practicas deportes de riesgo, es recomendable subir el archivo descargado a un servicio como Virus Total, antes de instalarlo en tu teléfono o tablet.
Los delincuentes utilizan esta técnica, llegando incluso a colocar sus creaciones en tiendas de aplicaciones oficiales, como en el caso de un código malicioso apodado Simbad, (casi 150 millones de descargas) que venía de regalo dentro de 200 aplicaciones descargadas de Google Play.
Google eliminó de su tienda todas las aplicaciones afectadas tras recibir el aviso.
Sin embargo, es posible que estas aplicaciones maliciosas todavía pululen por otros sitios de descargas.
