Google cambia su política de permisos de Android e incurre en un gran fallo de seguridad

Google cambia su política de permisos de Android e incurre en un gran fallo de seguridad

Por norma general, en Rootear siempre os intentamos dar información práctica sobre vuestros terminales Android, ya sea por adelantos que se producen dentro de la comunidad como para alertaros sobre posibles problemas de seguridad. Hoy es uno de esos días en los que publicamos un artículo para alertaros: Google lanzó una nueva versión de la Play Store que, entre otras cosas, permite el uso de PayPal para comprar aplicaciones y simplifica los permisos mostrados a los usuarios.

Android-Malware

Hasta aquí todo bien, pero bajo este cambio se esconde algo más siniestro. El sistema de permisos de Android que servía para proteger a los usuarios ha sido ligera y silenciosamente rebajado por Google en la actualización de su tienda de aplicaciones. Antes, cuando una aplicación necesitaba permisos adicionales, los usuarios eran notificados y tenían que aceptar los cambios antes de que se pudiera instalar. Esto siguió cuando las actualizaciones automáticas se introdujeron, ya que las que presentaban cambios en los permisos precisaban de aprobación manual.

Este sistema funcionó bastante bien, pero con el último cambio de la Google Play Store los usuarios ya no son notificados acerca de ciertos cambios en los permisos, a no ser que esto resulte en la adición de nuevos permisos a un nuevo grupo, y con la amplitud de los mismos que un grupo comprende, esto deja a Android con tan sólo 13 tipos de permiso distintos. Esto significa que una app podría actualizarse automáticamente en el futuro, y darse a sí misma acceso acceso a más permisos dentro de un grupo sin que el usuario llegase a saberlo.

android-malware

Google también decidió que los usuarios no tenían por qué saber si las aplicaciones necesitaban acceder a Internet, así que este permiso ahora se esconde debajo de otro, o dicho de otra manera, que nosotros no vamos a saberlo. El razonamiento de los de Mountain View es que como la mayoría de apps acceden a Internet, ¿para qué se van a molestar en avisar al usuario? Y curiosamente, una de las pautas a seguir para proteger nuestra privacidad es impedir el acceso a la Red de las aplicaciones que lo soliciten. Resumiendo, Google ha cometido un error muy grande que ha comprometido la seguridad de los usuarios de Android.

¿Qué podemos hacer los usuarios ante esto?

Por ahora, lo mejor que puedes hacer es desactivar las actualizaciones automáticas para tus aplicaciones y revisar los permisos que solicitan cuidadosamente. Podrías incluso considerar usar un módulo de Xposed Framework -Xprivacy- que limite los permisos que solicita cada app.

Para que te hagas una idea de la gravedad del asunto, un usuario en Reddit creó un hilo donde demuestra que una aplicación con unos pocos permisos puede ser una puerta trasera a tu dispositivo. La aplicación que creó solicitaba estos permisos:

 android.permission.GET_TOP_ACTIVITY_INFO  android.permission.GET_ACCOUNTS  android.permission.ACCESS_COARSE_LOCATION  android.permission.WRITE_CALL_LOG  android.permission.READ_EXTERNAL_STORAGE  android.permission.SUBSCRIBED_FEEDS_WRITE

Y con estas pocas solicitudes era capaz de actualizarse para permitir los siguientes permisos adicionales, ninguno de los cuales era notificado al usuario:

 android.permission.READ_HISTORY_BOOKMARKS  android.permission.READ_PHONE_STATE  android.permission.ACCESS_FINE_LOCATION android.permission.ACCESS_LOCATION_EXTRA_COMMANDS  android.permission.READ_SMS android.permission.RECEIVE_MMS  android.permission.RECEIVE_SMS  android.permission.SEND_SMS  android.permission.WRITE_SMS  android.permission.WRITE_EXTERNAL_STORAGE  android.permission.MOUNT_FORMAT_FILESYSTEMS  android.permission.MOUNT_UNMOUNT_FILESYSTEMS  android.permission.SUBSCRIBED_FEEDS_READ 

Y ya está. Una aplicación con unos permisos estándar podría, con una pequeña actualización que no notifica al usuario, monitorizar y almacenar tus datos de navegación, indexar tu número de Imei y otras lindezas mientras, por ejemplo, te rastrean por GPS en tiempo real.

Esto no es una trama de una película de ciencia ficción, esto es algo que se podría hacer hoy, en tu terminal, sin que tú siquiera tengas que saberlo. ¿En qué estaba pensando Google?

Vulnerabilidades

¿Hacia dónde nos lleva este camino?

Para empezar, Google está cometiendo un error tremendo en materia de privacidad. Apple, sin embargo y aunque parezca raro, ha incluido unas cuantas medidas interesantes sobre el tema en iOS 8. Haciendo una historia larga más corta, con estas nuevas medidas se impedirá que se pueda rastrear un dispositivo Apple mientras busca redes WiFi, entre otras cosas.

Ahora que ya ha quedado claro que el mercado está moviéndose hacia un control mayor por parte del usuario, quizá sería necesario rediseñar la simplificación de los permisos de las aplicaciones que ha hecho Google de forma que quede más claro qué es lo que estamos permitiendo. También debería ser posible garantizar y denegar permisos en tiempo real, pero está claro que eso sólo pasa en las utopías o en ROMs personalizadas como CyanogenMod.

Te recomendamos echar un vistazo al hilo que se ha abierto en reddit sobre el tema, ya que el usuario que ha llevado a cabo este experimento ha demostrado de forma bastante flagrante que Google ha cometido un error muy serio. Repito la pregunta que hice antes: ¿En qué estaba pensando Google cuando implementó estos cambios? Puede que sea hora de pensar en decir adiós a las Google Apps y buscar alternativas que preserven mejor la privacidad a la par que permiten un mejor control de tus propios datos.

Para ti
Queremos saber tu opinión. ¡Comenta!