Descubre formas de sortear los últimos errores de Google en seguridad para Android

Descubre formas de sortear los últimos errores de Google en seguridad para Android

Al retortero del artículo que publicamos ayer acerca del fallo garrafal de Google y del cambio de los permisos de la Play Store que dejaba un agujero muy importante en la seguridad del terminal, hoy vamos a intentar dar solución a este problema gracias a esfuerzos llevados a cabo por la comunidad de usuarios y desarrolladores de Android. Vamos a echar un vistazo a tres soluciones populares dentro del ecosistema, vamos a ver cómo funcionan y para qué son.

seguridad

¿Por qué debería importarte lo que haga Google?

Empecemos por el principio: desde el momento de su aparición pública, Android ha tenido un sistema de permisos que permite a los usuarios controlar qué aplicaciones hacen según qué cosas en sus terminales. Cuando una aplicación se instala, se informa al usuario de los permisos que ésta requiere. El sistema operativo se asegura de que las apps no puedan hacer uso de permisos que no han pedido, y el usuario es el responsable de decidir si una aplicación se instala o no.

Al principio esto funcionaba bien, ya que los usuarios podían ver a qué datos tenía acceso una aplicación. Por desgracia, los desarrolladores se dieron cuenta de que muy pocos usuarios prestaban atención a la información sobre los permiso. Esto provocó que se normalizase entre devs el usar más y más permisos -presumiblemente para mejorar la experiencia de usuario o quizá para monetizar sus creaciones-.

¿En qué te afecta todo esto?

Ahora que ya tienes más información, vamos a poner un caso práctico. Hemos llegado a un punto donde, por ejemplo, un juego que aparezca muy bien posicionado dentro de las búsquedas de la Play Store hace uso de los siguientes permisos:

  • Controlar las aplicaciones que están ejecutándose en tu smartphone.
  • Buscar cuentas de correo o redes sociales en tu dispositivo.
  • Geolocalización precisa.
  • Geolocalización aproximada.
  • Modificar o borrar los contenidos de tu almacenamiento USB.
  • Probar el acceso al almacenamiento protegido.
  • Ver las conexiones WiFi.
  • Leer el estado del teléfono y la identidad del mismo.
  • Recibir datos de Internet.
  • Acceso completo a la red.
  • Ver conexiones de red.
  • Evitar que el dispositivo caiga en un estado de suspensión.

Y todo esto por un juego que lo que hace es funcionar como una suerte de entrenador de un equipo de fútbol, por poner un ejemplo. En este punto empiezas a hacerte preguntas: ¿Hay alguna justificación posible para la mitad de estos permisos? ¿Es necesario que esta aplicación vea qué otras apps estás ejecutando al mismo tiempo? ¿Y ver cuántas cuentas tienes en tu dispositivo? ¿Qué hay de acceder a tu localización exacta por GPS? ¿Y de leer tu número de IMEI y el número de teléfono de alguien a quien estás llamando?

Este no es un incidente aislado. Esto es algo que se ve en bastantes aplicaciones de la front page de la Google Play Store. Y si no me crees, selecciona cualquier otra y comprúebalo por ti mismo. Como ahora la mayoría de aplicaciones están usando lo que a la vista parecen permisos excesivos, un número creciente de usuarios creemos que no es suficiente con no usar apps con permisos excesivos. Esto lleva a una petición común, que es que los usuarios podamos elegir a qué permisos puede acceder una aplicación, de forma que el poder de decisión vuelva al usuario, que es donde estaba en un principio, ya que es él el que ejecuta la aplicación en su terminal y no el programador de la app en cuestión.

La solución obvia por parte de la comunidad es desarrollar formas de tener mayor control sobre lo que las aplicaciones son capaces de hacer y evitar que usen todos los permisos que pidan. Las tres formas más comunes para revocar permisos son App Ops, Privacy Guard y XPrivacy.

metadatos en microsoft word

App Ops

Fue introducida por Google en Android 4.3 como una característica oculta, y con la llegada de KitKat, Google dificultó aún más su acceso, pero aún así continuó mejorando la función. En Android 4.4.2, App Ops fue retirada definitivamente.

La mayor limitación de esta función es que, a pesar de estar hecha por Google, sólo permite bloquear accesos a permisos que desde Mountain View están dispuestos a dejarte bloquear. Me explico: no nos permite controlar realmente los permisos de acceso a Internet de una aplicación o sobre leer la ID del terminal, por poner un par de ejemplos. Usando sólo esto, una aplicación todavía es capaz de conseguir acceso a muchas partes del sistema que nos interesaría mantener privadas, como por ejemplo el IMEI.

Cualquiera podría argumentar que Google tiene un motivo de peso para que esto pase: Después de todo, a Google le interesa aumentar la publicidad dentro de las aplicaciones y recoger información de los usuarios para Google Analytics. Iguamente, la de Mountain View es una empresa muy competente en la creación de perfiles de sus usuarios, lo que explicaría por qué no es posible bloquear tu identidad a las aplicaciones evitando el acceso a las distintas cuentas presentes en el smartphone. La habilidad para acceder a identifcadores únicos de dispositivo sólo ayuda a permitir a otras aplicaciones a rastrear tus hábitos de uso -y al mismo tiempo permite a Google hacer lo propio entre aplicaciones-.

Por esta misma razón, y aunque creemos que App Ops es mucho mejor que nada, no es la mejor solución para mantener tu privacidad intacta por las razones anteriormente expuestas. Por eso mismo, te recomendamos que busques alternativas.

Privacy Guard

Privacy Guard es una función originalmente desarrollada por CyanogenMod para poner una interfaz de usuario simple sobre App Opps con un sencillo botón de encendido y apagado para controlar el protocolo. Como tal, Privacy Guard está sujeto a las mismas críticas que App Ops en sus limitaciones. Además tiene una notificación que muestra de forma constante bastante molesta.

Desgraciadamente, Privacy Guard no hace ningún intento de anonimizar a los usuarios o evitar que las aplicaciones rastreen sus sesiones de uso a través de identificadores de dispositivo o mediante acceso a Internet. Con un único control de encendido y apagado, sin embargo, está claro que es fácil de usar para los principiantes, y los ajustes por defecto deberían bastar. Sin embargo, como una solución de un sólo click para usuarios que ya tengan custom ROMs funciona bastante bien.

App Ops custom ROM

XPrivacy

De las soluciones que te hemos presentado hoy, XPrivacy no sólo es la mejor de todas sino que además es la joya de la corona. Comparando con lo que te hemos ofrecido hasta ahora, este módulo de Xposed Framework es lo más ajustable a las necesidades de cada usuario, pero en contraposición a esta característica también resulta mucho más complicado. Si no estás familiarizado con los permisos en Android quizá no sea el mejor lugar donde empezar. Al tratarse de un módulo de Xposed Framework, como ya se dijo más arriba -y que ya os recomendamos en nuestra recopilación de módulos más reciente-, es necesario disponer de un terminal rooteado. Pero precisamente por ser específico para Xposed, XPrivacy debería funcionar en prácticamente cualquier ROM de cualquier terminal.

La mayor ventaja de XPrivacy por encima de otras alternativas es la amplitud y granularidad de restricciones que puedes imponer a las aplicaciones: Puedes permitir que vea sólo ciertas cuentas en tu dispositivo, bloquear el acceso a tu portapapeles para que no pueda leer tus datos copiados e incluso bloquear el acceso a Internet, tanto directamente como desde el navegador web, lo que evita que datos personales se filtren desde nuestro dispositivo. Piensa en lo que quieres restringir y es casi seguro que con XPrivacy podrás.

A pesar de tratarse de una herramienta muy poderosa, tiene una curva de aprendizaje muy elevada. Antes de instalar, te aconsejamos que leas toda la documentación que puedas encontrar -nosotros mismos te dejaremos algo al final del artículo-.

Conclusiones

Está bastante claro que como protección general para tus datos privados tenemos que recomendar XPrivacy. Cuesta mucho acostumbrarse a su uso, pero su funcionalidad y utilidad no tiene parangón. Si no estás muy seguro de lo que haces, usar App Opps te dará un cierto control sobre tus datos, pero no será un control total. Privacy Guard está bien para alguien que busca una solución de un click, pero la necesidad de instalar una custom ROM para conseguir esta función es una limitación importante, ya que algunos usuarios no quieren usar ROMs personalizadas y esta característica no se puede encontrar en firmwares stock.

Para ti
Queremos saber tu opinión. ¡Comenta!