Normalmente, un usuario puede conocer el listado de permisos que necesita una app para funcionar en el momento de su instalación. Las apps suelen solicitar al usuario una media de entre tres y cuatro permisos, según afirma Tallón. Los permisos más solicitados, según sostiene, son el acceso a archivos del usuario, a la cámara del dispositivo y a los servicios de localización. Y las aplicaciones que tienden a solicitar la mayor cantidad de permisos son las relacionadas con redes sociales y compras online.
“Una vez instalada la aplicación, podemos conocer la primera vez que hace uso de cada permiso, ya que solicitará su ejecución al usuario”, explica Ismael Morales, miembro del Grupo de Seguridad Informática y para la Defensa del CCII y technical cybersecurity manager en Wellness TechGroup. Después, las aplicaciones no necesitarán consentimiento del usuario cada vez que usen los permisos anteriormente aceptados: “A partir de este punto, el usuario ya no sabe cuándo las aplicaciones hacen uso de los permisos”.
De hecho, la función del móvil de Tucker solo está disponible en algunos móviles de Samsung y no es común en el resto de terminales. “Es difícil para un usuario corriente saber a qué información tiene acceso una aplicación o el propio dispositivo más allá del control de permisos”, asegura Tallón. Para protegerse, los expertos consultados recomiendan instalar solo las apps que realmente se necesiten y fijarse antes de hacerlo en si los permisos solicitados pueden ser abusivos. Morales aconseja que en el caso de contar con varias alternativas al instalar una aplicación que ofrece la misma funcionalidad, es preferible instalar la que menos permisos que consideremos abusivos solicite.
Herramientas
El investigador del ICSI Serge Egelman explica que existen muchos sitios web y herramientas que muestran qué permisos son solicitados por una aplicación, pero no informan de si esos permisos se usan realmente en la práctica ni del momento preciso en el que se utilizan: “Saber que se solicita un permiso no es lo mismo que saber que realmente se usó”.
Para detectar qué permisos usa una aplicación y en qué momento lo hace, según señala, debe de modificarse el sistema operativo. Él lo ha hecho con un grupo de investigadores y ha creado AppCensus, una compañía que se encarga de verificar el comportamiento de diferentes apps de Android. “Durante varios años, hemos estado construyendo nuestra propia versión personalizada de Android que incluye instrumentación para monitorear el acceso de las aplicaciones a los datos personales. Debido a que esto requiere modificaciones del sistema operativo, no se puede hacer en una aplicación que se instala desde Play Store”, afirma.
AppCensus facilita en su web información sobre los comportamientos de diferentes apps en el mercado para que el usuario pueda saber a qué datos acceden y si son compartidos con terceros. Se trata, según Egelman, de una de las pocas formas de que los consumidores entiendan las implicaciones de privacidad de las aplicaciones que usan”. Subraya que antes solo había dos formas de saberlo: leer las políticas de privacidad y examinar el tráfico de la red. “Todos conocemos los problemas con las políticas de privacidad. Son ambiguas, requieren mucho tiempo y son difíciles de leer. En segundo lugar, esperar que el usuario promedio monitoree y analice el tráfico de la red es simplemente absurdo, además de que significa que para cuando detecta un mal comportamiento, este ya ha pasado”, añade.
Joel Reardon, profesor asociado de la Universidad de Calgary y otro de los artífices de AppCensus, cuestiona la usabilidad de una herramienta que constantemente le informe al usuario de que una app va a utilizar su permiso. Para él, sería útil que el usuario pudiera, por ejemplo, negar el acceso a la ubicación, el micrófono o la cámara cuando la pantalla o el audio del terminal estuvieran apagados.
Tanto Egelman como Reardon hacen hincapié en que algunas aplicaciones buscan la forma de acceder a determinada información aunque el usuario les haya denegado el permiso de forma explícita. Ambos han participado en una investigación llevada a cabo por un equipo de expertos en ciberseguridad, que ha revelado que hasta 12.923 apps han encontrado la forma de seguir recopilando información privada pese a haberles negado los permisos explícitamente. El número de usuarios potenciales afectados por estos hallazgos, según señalan, es de “cientos de millones”.
En: ElPais.
