Investigadores de la Northeastern University de Massachusetts (Estados Unidos) presentaron un estudio en el que alertaron sobre la presencia de aplicaciones para dispositivos Android que hacen capturas de pantalla para enviarlas a terceros, como es el caso de GoPuff.
La investigación trató de averiguar si las aplicaciones de los smartphones espiaban a los usuarios y envían de modo encubierto audio o vídeo, para lo que analizaron más de 17 mil apps populares de Android, incluyendo aplicaciones que pertenecen a Facebook y más de ocho mil que envían información a la red social.
- Te recomendamos Una falla en Samsung envía sin permiso tus fotos a otros Tecnología
En el documento, titulado Panoptismo: caracterización de la filtración de audio y vídeo de aplicaciones de Android, los expertos analizaron riesgos de seguridad en aplicaciones de Android, así como software que requiere permisos no justificados o que comparte imagen y video con terceros sin el conocimiento de los usuarios.
Sobre este último aspecto, los investigadores descubrieron que existen apps que guardan y envían registros de la pantalla del teléfono a terceros. Sin embargo, en el estudio no encontraron evidencias de que las aplicaciones activen el micrófono o envíen grabaciones sin permiso.
De las 17 mil 260 aplicaciones examinadas, más de nueve mil contaban con permiso para acceder a la cámara y al micrófono, y de ellas algunas enviaban las capturas de pantalla y grabaciones de la pantalla a dominios pertenecientes a terceros.
Uno de los ejemplos es GoPuff, una app de mensajería para personas con antojos de comida chatarra que registraba las interacciones del usuario y enviaba los datos a un dominio afiliado a AppSee, una compañía dedicada al análisis móvil. En este caso, el vídeo enviado incluía una pantalla en la que se ingresaba información personal.
Tras el descubrimiento, el equipo de investigadores se puso en contacto con GoPuff, por lo que posteriormente la compañía añadió a sus políticas que AppSee podría recibir Información Personalmente Identificable (PII) de los usuarios y eliminó la SDK de AppSee de sus aplicaciones para iOS y Android.
En relación con este problema, la política de Google Play establece que siempre se debe revelar a los usuarios la forma en la que se recopilará su información, una práctica que no cumplirían aplicaciones como GoPuff.
Los investigadores utilizaron para el estudio programas automatizados que efectuaron las acciones en los teléfonos móviles, en lugar de humanos. Además, durante los primeros meses de la investigación los dispositivos estaban cerca de estudiantes de la universidad y rodeados de conversaciones, pero posteriormente se mantuvieron aislados en un armario, lo que podría haber afectado a las conclusiones del estudio.
RL