Getty Images/iStockphoto

Las aplicaciones móviles pueden presentar ciertos riesgos incluso si los desarrolladores no tienen intenciones maliciosas en mente. Los errores o errores en la fase de desarrollo pueden generar ciertos problemas, como fugas de datos. Descubiertas por la empresa de ciberseguridad Palo Alto Networks, dos aplicaciones de la empresa tecnológica china Baidu revelaron algunas filtraciones de datos de dispositivos. Una publicación de blog publicada el martes describe el tipo de datos filtrados y por qué estas filtraciones pueden ser peligrosas.

VER: Los mejores consejos de seguridad de Android (PDF gratuito) (República Tecnológica)

Utilizando la detección de software espía basada en el aprendizaje automático (ML), los investigadores del brazo de seguridad de la Unidad 42 de Palo Alto Network encontraron varias aplicaciones de Android en Google Play que estaban filtrando datos. En la alineación estaban Baidu Search Box y Baidu Maps, que en conjunto se habían descargado 6 millones de veces en los Estados Unidos. Los datos filtrados incluían la dirección MAC del teléfono, cierta información del operador y el número IMSI.

La dirección MAC se utiliza como identificador del hardware de red de un dispositivo y nunca cambia. El número IMSI (Identidad internacional de suscriptor móvil) se usa para identificar a un suscriptor de una red celular y generalmente está asociado con la tarjeta SIM del dispositivo. La dirección MAC y el número IMSI se pueden usar para rastrear la ubicación de un dispositivo móvil y su usuario, de ahí la preocupación por la fuga de datos.

Si bien es posible que la falla no haya sido intencional, se desaconseja recopilar identificadores únicos, según la guía de mejores prácticas de Android. De hecho, los ciberdelincuentes pueden usar las herramientas de captura de IMSI para recuperar este tipo de datos filtrados para crear perfiles de usuarios de dispositivos, extraer otra información confidencial e incluso interceptar llamadas telefónicas y mensajes de texto.

La Unidad 42 notificó a Baidu y Google de sus hallazgos. Google eliminó ambas aplicaciones de Google Play el 28 de octubre. En este momento, una versión compatible de Baidu Search Box está disponible en Google App Store, mientras que Baidu Maps sigue sin estar disponible.

"La información de referencia solicitada por la aplicación Baidu (o denominada 'Cuadro de búsqueda de Baidu' en el informe) se usó para habilitar la funcionalidad push, como se describe en el acuerdo de confidencialidad", dijo a TechRepublic un portavoz de Baidu.

"Baidu se toma muy en serio la privacidad y la seguridad de sus usuarios y los datos solo se utilizan con el permiso de los usuarios", agregó el portavoz. "Los problemas informados se resolvieron en la última versión de las aplicaciones antes de que Unit 42 utilizara su investigación. La aplicación Baidu y Baidu Maps no se eliminaron de Google Play Store por los resultados de esta investigación. La aplicación Baidu volvió a estar en Play Store desde el 19 de noviembre. Al igual que la aplicación Baidu, estamos trabajando para actualizar Baidu Maps de acuerdo con las pautas de Google y esperamos que la aplicación regrese a Google Play a principios de diciembre.

Más allá de eliminar la dirección MAC y los números IMSI, se ha descubierto que algunas aplicaciones de Android filtran otros tipos de datos, incluido el modelo de teléfono, la resolución de pantalla, el operador, el tipo de red (Wi-Fi, 3G, 4G, etc.), ID de Android e IMEI ( Identidad internacional de equipo móvil). Algunos de estos datos son relativamente benignos. Pero filtrar el número IMEI puede generar una bandera roja.

Único para cada dispositivo, el número IMEI es otra forma de identificar y rastrear un teléfono, especialmente útil en caso de pérdida o robo. Un pirata informático que obtenga este número podría denunciar el dispositivo como robado y persuadir al proveedor para que lo deshabilite y bloquee su acceso a la red.

"La fuga de datos de las aplicaciones y SDK de Android representa una grave violación de la privacidad del usuario", dijo Palo Alto Networks en su publicación. "Detectar tal comportamiento es vital para proteger los derechos de privacidad de los usuarios móviles".

El dilema aquí es que los usuarios dependen de la honestidad y confiabilidad del desarrollador para mantener privada la información clave. Las aplicaciones legítimas de Android generalmente le piden a un usuario que permita o niegue permisos para ciertas funciones. Sin embargo, la denegación de permisos puede impedir que una aplicación funcione correctamente. Debido a la confusión y complejidad de este proceso, los usuarios simplemente pueden otorgar todos los permisos para facilitar el uso de la aplicación.

Pero, como mínimo, los usuarios de Android necesitan saber cuándo una aplicación puede acceder a los datos del teléfono y poder limitar ese acceso, dijo a TechRepublic Jen Miller-Osborn, subdirectora de inteligencia de amenazas de la Unidad 42 de Palo Alto Networks. En casos como este, no habría forma de que los usuarios de Android eviten que la filtración no descargue e instale la aplicación. Pero los usuarios deben ser conscientes y considerar por qué algunas aplicaciones son gratuitas, según Miller-Osborn, y señala que los desarrolladores de aplicaciones de Android suelen monetizar algo.

Nota del editor: este artículo ha sido actualizado con comentarios adicionales..