Blog

Permisos de aplicaciones para teléfonos móviles con Android

Permisos de aplicaciones para teléfonos móviles con Android

Las aplicaciones generalmente necesitan usar datos de nuestro dispositivo para funcionar, esto significa otorgarles ciertos permisos.El problema es que muchas de ellas reciben permisos que no deberían tener y nos ponen en riesgo.

¿Un inútil repelente de mosquitos necesita realmente acceder al micrófono, a los mensajes de texto, al teléfono o a nuestros contactos?

Cómo funcionan las aplicaciones móviles

La mayoría de estas aplicaciones tienen una arquitectura cliente-servidor.

El cliente se ejecuta en el sistema operativo, que suele ser Android o iOS. Este cliente se descarga en el dispositivo desde las plataformas de distribución de aplicaciones, donde los desarrolladores publican sus productos, es decir el cliente instalado en el teléfono inteligente es la propia aplicación con la que el usuario interactúa.

El servidor, ya sea propio, dedicado,compartido o en la nube,es gestionado por el desarrollador de la aplicación y se encarga de recopilar y almacenar los datos que le envia el cliente (la aplicación) entre otras cosas, para proporcionar actualizaciones y parches de seguridad.

Pero también puede recopilar información, que no es estrictamente necesaria para su correcto funcionamiento.

Si le concedes ciertos permisos a una aplicación, podrá obtener información y subirla a la nube, de hecho, el desarrollador de la app, no tendrá que solicitar tu consentimiento explícito para cualquier cosa que quiera hacer con la información obtenida.

Por tanto, es recomendable reflexionar antes de conceder permisos a las aplicaciones, especialmente si no son necesarios para que funcione.

Por ejemplo, la mayoría de los juegos no necesitan acceder a tus contactos o a tu cámara, las aplicaciones de mensajería no tienen por qué conocer tu ubicación y los filtros de tu cámara pueden sobrevivir sin tu historial de llamadas.

Permisos más habituales, y lo que implican

Teléfono

Concediendo este permiso se autoriza a la app leer el estado del teléfono, saber nuestro número, conocer el estado de la red móvil, hacer llamadas, conocer el histórico de las mismas, añadir mensajes de voz, gestionar llamadas colgando o descolgando e incluso redireccionarnos a otro número. Muy peligroso si la app lleva malware.

Almacenamiento y Memoria

Ya sea el sistema de almacenamiento externo como la tarjeta SD o el almacenamiento interno del teléfono, con este permiso se autoriza a la aplicación a que acceda a los mismos, e incluso a que almacene archivos en nuestro dispositivo.Una aplicación maliciosa podría ser capaz de leer, modificar y eliminar cualquiera de los documentos guardados: música, fotos y otros archivos.

Mensajes de texto y SMS

Permite que la app envíe mensajes de texto (SMS, MMS o incluso mensajes tipo Push WAP), lea los mensajes guardados y reciba otros de nuevos, con el consiguiente perjuicio económico para el usuario, si es suscrito a un servicio de tarificación addicional, o si la aplicación contiene algun tipo de malware, ya que podrá enviar software malicioso a tus contactos haciéndose pasar por ti.

Calendario

Permite tanto leer, como editar y crear nuevos eventos en el calendario. Un actor malintencionado podría obtener datos del usuario, como por ejemplo sus citas de trabajo y también de otras personas con las que tenga algun tipo de relación, ya sea personal o profesional.Algo muy util para perpetrar un ataque de phishing dirigido.

Cámara

Se permite a una app tomar fotos y grabar vídeos casi sin intervención del usuario.Esto supone una violación de la privacidad, y podría usarse con fines maliciosos.Por ejemplo mediante la conexión a Internet un atacante puede enviar las capturas a un servidor controlado por el, y hacer lo que quiera con estos datos.

Contactos

Con este permiso, la aplicación solicita poder consultar la lista de contactos, editarla, añadir nuevos y también acceder a la lista de servicios cuyo acceso tengamos activado a través del móvil.

Por supuesto, también puede recopilar los datos de nuestros contactos como números de teléfono y direcciones de correo electrónico.Una aplicación maliciosa puede robar todo el contenido de tu libreta de direcciones y luego enviar spam a tus contactos perpetrar estafas de phishing, etc.

Ubicación

Se permite que la app pueda geolocalizarnos, a través del GPS, de las antenas de teléfonia móvil o mediante la conexión wifi. Es una de las más delicadas en lo referente a la privacidad.Alguien podría crear un perfil de tus hábitos diarios, y si nos ponemos paranóicos, incluso informar a los ladrones cuando no estás en casa.

Micrófono

Que una aplicación de grabación de voz necesite acceso al micrófono es lógico.Pero nos exponemos a que una mala configuración le permita garbar nuestras conversaciones telefónicas, o espiarnos en nuestra propia casa.Y no es cómodo que una app pueda escuchar todo lo que decimos en la intimidad.

Sensores corporales

Estos permisos están ligados al uso de dispositivos como las pulseras de actividad. Con ello podemos facilitar datos sobre nuestro estado de salud, que normalmente pertenecen a nuestra vida privada.

Otros tipos de permisos

Además de los permisos anteriores, Android también tiene privilegios de administrador y privilegios de root.

¿Qué son los privilegios de administrador del dispositivo?

Los privilegios de administrador del dispositivo (a veces llamados derechos de administrador) permiten que las aplicaciones cambien la contraseña de un dispositivo, bloqueen el teléfono o incluso borren permanentemente todos los datos.

Las aplicaciones maliciosas pueden usar estos privilegios en tu contra, pero también son importantes para algunas aplicaciones legítimas.

Por ejemplo, las aplicaciones de seguridad necesitan estos privilegios para permitir bloquear o borrar el dispositivo de forma remota en caso de pérdida o robo, por lo que es altamente recomendable instalar este tipo de aplicaciones solamente desde fuentes oficiales.

¿Qué son los privilegios de root?

Los privilegios de raíz  son el santo grial de los permisos.

Son los más peligrosos, porque cualquier aplicación con privilegios de root puede hacer practicamente lo que le salga de los huevos en un dispositivo, independientemente de los permisos que hayamos bloqueado o habilitado.

Como puedes imaginar, las aplicaciones maliciosas con privilegios de root pueden causar estragos en tu teléfono.

root

Afortunadamente, Android bloquea estos por defecto. Pero los creadores de malware siempre están buscando formas de obtenerlos, aprovechando que un dispositivo está roteado.

Normalmente, es el propio usuario quien rotea el dispositivo (algo similar a hacer un jailbreak a un iPhone) para eliminar el bloatware (software que viene incluido con el dispositivo) acelerar el procesador, personalizar la apariencia de su teléfono o instalar herramientas especializadas y ROMs personalizadas.

Sin duda, es una de las mejores maneras de aprovechar el verdadero potencial de un dispositivo Android, pero sin entrar en alarmismos, si no se hace correctamente, puede dañar irreparablemente el dispositivo, y representa un riesgo para la seguridad.

¿Qué permisos permitir y denegar?

Por supuesto, negar permisos a aplicaciones poco fiables es una de las mejores formas de mantener el teléfono y los datos que contiene a salvo.

En términos generales, los desarrolladores de aplicaciones generalmente solo solicitan los permisos imprescindibles, pero por muy buena reputación que tenga una aplicación, no hay que darle luz verde y permitirle todos los caprichos.

Es posible que no desees utilizar ciertas funciones vinculadas a la recopilación de datos, ya sea con fines de diagnóstico o para mandarte publicidad dirigida, o la geolocalización.

En general, considera si el permiso solicitado es apropiado para la aplicación y desconfía de aquellos que no parecen tener sentido para su correcto funcionamiento.

Las aplicaciones de mensajería ciertamente necesitarán acceder a tus contactos, SMS y probablemente también a la cámara y el micrófono para poder realizar videollamadas.

Pero probablemente no necesiten información sobre tu salud.

Recuerda, que siempre puedes consultar todos los permisos que solicita una aplicación antes de instalarla desde Google Play, y leer las opiniones dejadas por otros usuarios. 

No instalar nada fuera de los canales oficiales

Existen páginas web que ofrecen aplicaciones de pago de forma totalmente gratuita.Puede parecer tentador, pero muchas de ellas están troyanizadas.

En algunos de estos sitios, los archivos APK son subidos por terceros.

No existen filtros de seguridad y no hay medidas de protección, por lo que cualquier persona puede subir un archivo APK infectado con virus, adware u otro software malicioso.

Si practicas deportes de riesgo, es recomendable subir el archivo descargado a un servicio como Virus Total, antes de instalarlo en tu teléfono o tablet.

Cuando el usuario descarga la app,descarga también el programa malicioso que contiene, infectando su dispositivo.

Los delincuentes utilizan esta técnica, llegando incluso a colocar sus creaciones en tiendas de aplicaciones oficiales, como en el caso de un código malicioso apodado Simbad, (casi 150 millones de descargas) que venía de regalo dentro de 200 aplicaciones descargadas de Google Play.

Google eliminó de su tienda todas las aplicaciones afectadas tras recibir el aviso.

Sin embargo es posible que estas aplicaciones maliciosas se encuentren disponibles en otros markets, como F-Droid, APK Mirror o Apptoide.

Se recomienda consultar el listado de las aplicaciones afectadas gran parte de ellas juegos de simulación, que está disponible en el reporte de CheckPoint.

Avisos de seguridad

Hosting Optimizado: Tu web más rápida y segura que nunca.