Hay aplicaciones que son un poco pesadas pidiéndonos permiso para poder acceder a nuestra ubicación. El problema es que, incluso aunque se lo deneguemos, una aplicación puede utilizar otros elementos para poder ubicarnos con bastante precisión sin tener que usar el GPS.
Los sensores del móvil dan mucha información
Esto es lo que ha descubierto un grupo de investigadores de la Universidad de Princeton, que han creado un mecanismo que permite recoger información del móvil y otra que está disponible de manera pública para poder ubicar a un usuario. Entre esa información encontramos cosas tan sencillas como la hora o la dirección IP, y otras como la brújula, el acelerómetro o el barómetro.
El mes pasado recopilamos cuáles son los permisos más peligrosos que se le pueden dar a una app en Android. El sistema distingue entre permisos normales y peligrosos. La ubicación está considerada como peligrosa por poder suponer un riesgo para la privacidad o seguridad, mientras que los normales no. Entre estos normales están el acceso a WiFi, a nuestra IP o a los sensores, entre otros.
Por ejemplo, cualquier aplicación de fitness puede tener acceso a este tipo de permisos. Los investigadores decidieron comprobar hasta dónde es posible ubicar a una persona con una aplicación que no tiene permisos ni para poder acceder a la ubicación de las antenas de red móvil a las que está conectado el dispositivo ni a las redes WiFi cercanas. A esta información puede acceder cualquier app, pero decidieron ponerse el reto más difícil.
La aplicación que crearon fue bautizada con PinMe, y usó información como:
- Mapas de navegación y de elevación con OpenStreetMap y la API de Google Maps
- Informes del tiempo de apps como The Weather Channel.
- Datos de la web OpenFlights para vuelos (en conjunción con el barómetro)
- Dirección hacia la que se dirigen los metro (en combinación con la brújula)
- Horarios de medios de transporte.
No hace falta ni GPS, ni WiFi ni datos móviles
Dependiendo de los datos del acelerómetro, el móvil (y por tanto la app) pueden saber la actividad que está realizando el usuario: si se encuentra andando, en avión, en coche, o en metro. Mediante algoritmos, pueden conocer hacia dónde se dirige el usuario y saber dónde va a estar.
El resultado, según los investigadores, fue una ruta muy similar a la que se consigue cuando tenemos el GPS encendido en una aplicación de fitness y vemos la ruta que hemos realizado. Tanto es así, que creen que sería posible usar esta aplicación como alternativa cuando el GPS falla. En la imagen anterior vemos en las líneas naranja y verde la ruta estimada, y la negra la real del GPS.
Los usuarios no tienen ninguna manera de protegerse ante este tipo de invasión de privacidad. La única opción sería que el sistema operativo ofreciera la posibilidad de desactivar todos estos sensores o el acceso a ellos, pero probablemente a la propia Google no le interesa que se haga esto.
En Android hay dos tipos de permisos: normales y peligrosos
Para instalar una aplicación normalmente nos vemos obligados a aceptar sí o sí lo que nos pide, o no se instalará. Por suerte, en las versiones más recientes de Android es posible elegir qué permisos tiene cada aplicación, al menos en los más importantes y sensibles. Para ello, podemos ir a Ajustes – Aplicaciones, seleccionar la aplicación que queramos, e ir al apartado de Permisos.
Google distingue entre dos tipos de permisos: los normales y los peligrosos. Por ejemplo, hay riesgo en que una aplicación tenga acceso a los contactos, pero no es preocupante que tenga acceso a conocer el estado del WiFi o que pueda hacer vibrar el móvil.
Si tienes root, también puedes instalar Xposed Framework y el módulo XPrivacy, que te permite elegir minuciosamente entre todos los permisos que tiene una aplicación de manera mucho más completa a lo que permite Google.
Ubicación
Si una aplicación como una para usar la linterna o un juego necesita nuestra ubicación, seguro que no va a ser para nada bueno. A través de la IP ya pueden ubicarnos en una ciudad, provincia o país, pero se ve que eso no es suficiente. Google Maps usa la ubicación para guiarnos por la ciudad, pero aplicaciones como las de la linterna lo usan para poder dirigirnos anuncios y vender nuestros datos, sabiendo además nuestros hábitos y qué comercios tenemos cerca.
SMS y llamadas
Que una app tenga acceso a los SMS y a las llamadas le da permiso para poder contactar con teléfonos de pago, o enviar virus a tus contactos haciéndose pasar por ti.
Cámara
El acceso a la cámara permite a una app poder hacer capturas o grabar vídeo en cualquier momento. Con ello, pueden pillarnos en cualquier tipo de situación. Si lo mezclan con el acceso a Internet (que entra dentro de los permisos normales y cualquier app puede tenerlo), un atacante puede enviar las capturas a un servidor que él mismo controle.
Micrófono
Que una aplicación de grabación de voz necesite acceso al micrófono es lógico. Pero, ¿para qué lo quiere un juego? Según algunas investigaciones, algunos juegos lo utilizan para saber qué películas o o series se están escuchando de fondo para hacer un perfil más certero del usuario. Facebook, por otro lado, y aunque hayan intentado demostrar lo contrario, lo usa para escuchar lo que decimos y mostrarnos luego contenido relacionado. Sea como fuere, no es cómodo que una app pueda escuchar todo lo que decimos.
Contactos
WhatsApp necesita tus contactos para poder saber quiénes usan la app. Sin embargo, un juego la requiere para, nuevamente, ver quienes son nuestros amigos y poder cruzar intereses.
Almacenamiento
Con este permiso, una aplicación puede acceder a nuestros archivos, pudiendo enviar cualquier archivo que tengamos almacenado, o al menos saber de qué tipos tenemos.
