El malware de Android pide permiso para entrar, ¿acaso se lo vas a dar?

Cada vez que instalas una app aceptas unos permisos. Pero ¿qué es lo que estás aceptando en realidad? ¿Son peligrosos para tu privacidad y seguridad?

Para usar la cámara, la conexión a Internet y otros recursos de tu móvil, las apps piden permisos a Android. Las apps se instalan solo si los aceptas, y únicamente puedes aceptarlos o rechazarlos en bloque (es un sistema de todo o nada). El problema es cuando se combinan permisos: revisarlos todos es agotador, así que acabamos por aceptar sin mirar.



Aceptar los permisos a la ligera puede tener consecuencias desagradables, como el envío de SMS o la sustracción de datos personales, como pasó con este virus. Comprobar los permisos toma menos de un minuto, un minuto que puede evitarte molestias mayores después (como tener que cambiar todas tus contraseñas).

A continuación te presento los permisos actuales que las apps solicitan antes de instalarse, y te explico cuáles pueden ser los peligros que llevan asociados y qué puedes hacer para prevenir problemas.

Compras integradas: cuidado con extorsiones y engaños

Bajo este epígrafe en apariencia tan claro, Android permite a las apps iniciar compras sin tener que pasar por Google Play. En un juego como Candy Crush, por ejemplo, puedes comprar objetos que te ayuden a pasar niveles, pero también hay apps que usan este sistema para extorsionar dinero bajo las promesas más variadas.

El malware Fakedefender, por ejemplo, era un falso antivirus que mostraba alertas de seguridad y prometía limpiar el teléfono tras efectuar una compra desde la aplicación. Otro caso bastante malicioso es cuando un juego en apariencia completo presenta compras desde la app: si la app la está usando un niño, es difícil que no efectúe la compra.
Android Defender, el falso antivirus que extorsionaba a través de compras integradas
Para evitar problemas relacionados con las compras integradas, activa la protección por contraseña en Google Play. Evitarás así la mayoría de compras compulsivas. Y sobre todo, no te dejes engatusar por falsas promesas.

Datos móviles / WiFi: la puerta de salida para el robo de datos

Ambos apartados son relativamente inofensivos de por sí, pues gestionan la conectividad de las aplicaciones. Cualquier app que necesite conectar a Internet los pedirá. Estos permisos se vuelven peligrosos en el momento en que se combinan con otros, puesto que dan vía libre a una app para enviar datos al exterior.

El dúo “leer contactos” y “datos móviles”, por ejemplo, debería preocuparte. ¿Para qué una agenda sin servicios en Internet necesita conectar? Quizá sea para la publicidad, pero debes estar seguro de ello. En la duda, puedes optar por bloquear la conexión con un cortafuegos (que también es eficaz para desactivar la publicidad en algunos juegos).

Historial de aplicaciones y dispositivo: historial y favoritos están ahí

Lo que este grupo de permisos permite es leer datos del teléfono, como los sitios por los que has navegado, tus favoritos o qué apps se están ejecutando. Un navegador web, un gestor de apps o una red social necesitan acceder a tu lista de apps y marcadores para consultarlos o modificarlos, pero no así un juego, por ejemplo. 

Que el navegador Chrome pida acceder al historial y favoritos es normal
Los riesgos para tu privacidad son evidentes: esta es la clase de datos que le encantaría a la NSA o a cualquier otra persona que desee espiar tus hábitos de navegación. Por otro lado, si una app no gestiona tu memoria, no tiene sentido que acceda a la lista de apps que se están ejecutando. Pregúntate si la petición que hace la app es sensata.

Identidad y cuentas: tus cuentas al alcance de cualquier app

Los permisos de identidad permiten a una app acceder a datos personales, como las cuentas que tienes en el teléfono. Tiene sentido en aplicaciones sociales como Facebook o Twitter, pero ninguno cuando tu identidad no tiene que ver con el objetivo principal de la aplicación. Entra otras cosas, un virus que aprovechase este permiso podría en teoría borrar tus cuentas.

Contactos / Calendario: cuidado con quien compartes la agenda

El mayor peligro de estos permisos reside en la consulta de tu agenda de contactos y eventos del calendario. Una app malintencionada podría sustraer teléfonos y correos o borrar eventos del calendario sin tu permiso (e incluso invitar personas sin tu permiso).

El virus FireLeaker, por ejemplo, robaba números de teléfono y direcciones de correo y lo enviaba todo a un servidor controlado por cibercriminales, que luego vendían esos datos a empresas que envían spam en forma de correos o mensajes SMS.

Ubicación: ¿necesita ese juego saber dónde estás ahora mismo?

Este grupo de permisos da acceso a los sensores de ubicación, como el GPS. Útil para mapas, guías y apps que añaden datos de posición a tus fotos y publicaciones. Pero si ves que este permiso no tiene sentido para una app, empieza a sospechar.

Además de gastar batería, la recolección de datos de ubicación pone en entredicho tu privacidad. El malware TigerBot, descubierto en 2012, enviaba la posición GPS del móvil junto con otros datos, como grabaciones de llamadas e imágenes.
Tigerbot es un troyano que se oculta bajo el genérico nombre de "System"

SMS: cuidado con el envío de mensajes cortos costosos

Si ves estos permisos, pregúntate para qué puede querer esa app recibir, leer o enviar mensajes de texto. Algunas reciben SMS para confirmar el alta a un servicio, pero en otras ocasiones el envío de mensajes de texto costosos es un engaño lucrativo.

En 2014, Panda Labs descubrió que una app de dietas que había sido bajada por 300.000 personas suscribía a los usuarios a un costoso plan de SMS de pago a través de un engaño tan simple como efectivo.

Teléfono: cuando una app puede marcar y llamar por ti

Estos permisos están pensados para apps que permiten iniciar llamadas o gestionarlas. Las apps de mensajería como LINE o WhatsApp, los bloqueadores de llamadas y los contestadores automáticos usan estos permisos.

Pero en apps donde el uso del teléfono no tiene sentido, estos permisos podrían indicar algún tipo de llamada de pago oculta. El malware MouaBad, descubierto en 2013 por Lookout, permitía a los ciberpiratas efectuar llamadas muy costosas sin que el propietario se diera cuenta.
MouaBad.P, malware que podía llamar números premium remotamente

Fotos, datos y archivos: ¿y si leen lo que tienes guardado?

Si una app necesita almacenar archivos, tendrá que pedirte permisos para modificar o eliminar contenido. Es difícil saber cuándo este permiso se usará con fines dañinos, como el robo o borrado de datos.

Algunos virus pueden tomar control del teléfono y enviar fotos y demás archivos a través de la red. La app Pixer, que todavía puede descargarse desde Google Play, engañaba a los usuarios para aceptar permisos y luego subía fotos a sus servidores.

Cámara / Micrófono: permisos que le hubieran gustado a 007

Cuando permites a una app el acceso a la cámara y al micrófono, esta puede hacer fotos y vídeos, así como grabar sonidos. Tiene todo el sentido del mundo en apps como Instagram, Skype o Facebook. En otros casos, hay que estar alerta.
PlaceRaider, una app capaz de tomar fotos al azar y reconstruir habitaciones enteras...
La app PlaceRaider es un ejemplo del peligro de aceptar permisos a la ligera: creada por un equipo de investigadores de los EEUU, es una app capaz de tomar fotos sin permiso y reconstruir habitaciones. Un espionaje que tú mismo aceptas.

ID del dispositivo y datos de llamada: el DNI de tu teléfono

Bajo este nombre tan misterioso, Android da permiso a las apps para que conozcan tu teléfono. Eso incluye obtener datos como el número IMEI, que es como el carnet de identidad del teléfono. Conseguirlo es bastante trivial.
Un ejemplo de los datos que se pueden sacar con los permisos de ID del dispositivo
Con un IMEI válido, alguien podría clonar tu teléfono y hacer llamadas; la factura te llegaría a ti. También podría bloquear tu número si informa a la operadora de que ha sido robado. El virus BadNews es un ejemplo de malware de este tipo.

Otros: un cajón de sastre de lo más peligroso

Además de los permisos típicos de Android, una app puede solicitar otros permisos únicos. Es muy importante que revises esta lista siempre que la veas. Entre otros permisos, hay algunos particularmente delicados, como leer los mensajes en tus redes sociales, tener acceso completo a la red o controlar partes del dispositivo. No hay límites: en Otros puede ocultarse aquel permiso que podría dar al traste con la seguridad de tus datos.

La regla de oro: investiga y usa analizadores de permisos

Si te parece que un permiso no tiene sentido, pregunta a los autores: puedes enviarles un correo desde Google Play o bien dejar un comentario y que te contesten. Los comentarios de otras personas (y la puntuación de la app) son otra pista importante para saber si una app es segura y fiable. No instales nada sospechoso sin haberte informado previamente.

¿Y las apps que ya están instaladas? Hay utilidades que se dedican exclusivamente a revisar los permisos por ti los permisos de todas las aplicaciones instaladas en tu móvil o tablet. Un ejemplo notable es F-Secure App Permissions, que escanea todos los permisos usados por tus apps y te indica los casos más sospechosos para que tú decidas qué hacer con cada app.

F-Secure App Permissions da una puntuación a cada app según los permisos solicitados
Tras toda esta exposición puede parecer que los permisos solo sirven para hacer el mal. No es cierto: son indispensables para el correcto funcionamiento de muchas apps legítimas. La forma en que Android gestiona los permisos, sin embargo, no es satisfactoria, puesto que da pie a descuidos peligrosos. Y es que es demasiado fácil dejar pasar un permiso inapropiado.

Comentarios

Entradas populares de este blog

Dabbleboard, una pizarra para hacer más productivas las reuniones

Community Managers: Una fórmula sencilla de medir el ROI para Pymes

5 procesadores de texto alternativos y no convencionales