Video: 😳Поставил Виджеты из IOS 14 на Андроид и Дико удивился. Теперь не нужен iPhone 12? (Noviembre 2024)
Renunciamos a mucha seguridad y privacidad cuando descargamos aplicaciones de la App Store de Apple y Google Play. Rara vez nos detenemos para analizar qué están haciendo las aplicaciones en nuestros dispositivos y con nuestros datos, y olvidamos que los desarrolladores no priorizan la privacidad del usuario al crear la aplicación.
"Lo que no creo que la gente se dé cuenta de que no somos el cliente de estas aplicaciones gratuitas. Los anunciantes lo son", dijo a Security Watch Michael Sutton, vicepresidente de investigación de seguridad de Zscaler.
Los desarrolladores están pensando en lo que quieren los anunciantes al crear estas aplicaciones, y esa es información sobre los usuarios y la capacidad de rastrear la actividad de los usuarios, dijo Sutton. Entonces, cuando se trata de permisos de aplicaciones, no hay nada que impida a los desarrolladores pedir más de lo que necesitan. La mayoría de la gente no lee la lista de permisos antes de aceptar que todos instalen la aplicación, y la gente generalmente no se queja si la aplicación parece pedir demasiados. Hay casos en los que los desarrolladores solicitan permisos independientemente de si realmente los necesitan.
De hecho, "no hay desincentivo para que no lo hagan, especialmente en el lado de Android de la casa", dijo Sutton.
Hallazgos de investigación de ZScaler
Los investigadores de Zscaler ThreatLabz analizaron 550 aplicaciones de iOS y 75, 000 aplicaciones de Android para comprender cómo los dos sistemas operativos móviles abordan la privacidad y la seguridad. En su análisis estático, el equipo buscó instancias reales en el código donde se llamaron funciones que requerían niveles específicos de acceso. De esta manera, podrían verificar que la función estaba usando el permiso que había solicitado.
Los hallazgos son bastante profundos y fascinantes, como el hecho de que más del 60 por ciento de las aplicaciones de iOS en la categoría "Juego y entretenimiento" solicitan permiso para funciones de telefonía y ubicación geográfica. Zscaler calificó este hallazgo de "preocupante", señalando que ha habido informes recientes de aplicaciones que espían la actividad del usuario. Ese número es mayor para las aplicaciones de estilo de vida, con un 81 por ciento que solicita funcionalidad. En general, el 34 por ciento de las aplicaciones de iOS solicitó permiso para acceder a la libreta de direcciones, el 83 por ciento solicitó acceso al correo electrónico y el 46 por ciento pudo leer el calendario del usuario.
"Con el 97 por ciento de las aplicaciones que utilizan al menos una de las funcionalidades que se rastrean (libreta de direcciones, telefonía, ubicación, calendario de correo electrónico o UUID), como se indicó, estamos consumiendo tanto, si no más, de lo que consumimos", escribió Zscaler en el blog.
En el lado de Android, Zscaler descubrió que el 68 por ciento de las aplicaciones que solicitan permisos de SMS solicitan la capacidad de enviar mensajes SMS. Esto es algo de lo que preocuparse, teniendo en cuenta la popularidad del fraude por SMS y el spam que engaña a los usuarios para que envíen mensajes a números premium. Otro 28 por ciento de las aplicaciones con permisos de SMS también solicitan la capacidad de leer mensajes SMS. Esta es también otra área de preocupación cuando considera la cantidad de sitios de banca móvil y otros servicios que envían códigos por SMS para la autenticación de dos factores o para confirmar transacciones específicas. "Es un permiso muy arriesgado para otorgar una aplicación", dijo Sutton, y señaló que Apple ni siquiera otorga este permiso.
Lo bueno es que, en este momento, menos del 10 por ciento de las aplicaciones actualmente solicitan permisos de SMS. Pero aún.
De las aplicaciones de Android analizadas, Zscaler descubrió que el 36 por ciento solicitó información de ubicación y el 46 por ciento solicitó el permiso estatal del teléfono, que permite que las aplicaciones accedan a la información de la tarjeta SIM y al identificador único de IMEI del teléfono.
"Es un delicado equilibrio entre lo que estamos dispuestos a renunciar a cambio de una aplicación gratuita", dijo Sutton.
Android expone a los usuarios a más riesgos
El mayor problema, en lo que respecta a Sutton, era el hecho de que Android no daba a los usuarios ningún control sobre los permisos que podían tener las aplicaciones. "No soy un fanático del modelo de todo o nada en Android", dijo Sutton, calificándolo de "peligroso".
Es un poco triste, porque Android en realidad va más allá de iOS al brindar a los desarrolladores niveles de control muy granulares. Sin embargo, ese nivel de control no se transfiere a la aplicación en sí, ya que si al usuario no le gusta un permiso específico que la aplicación solicita, entonces el usuario no puede instalar la aplicación. Apple, por otro lado, instala la aplicación iOS y luego, cuando es necesaria una funcionalidad específica, solicita permiso al usuario.
"Eso es algo que Apple hace mejor", dijo Sutton. Dijo que el "enfoque superior" a los permisos bajo el modelo iOS hace un mejor trabajo protegiendo a los consumidores.
Apple también ha luchado para evitar que los desarrolladores rastreen dispositivos, dijo Sutton. Originalmente, a los desarrolladores se les permitió consultar el UDID único del dispositivo, que los anunciantes podían usar para crear perfiles y comprender qué tipo de aplicaciones estaban usando los usuarios. Aunque Apple ha prohibido el uso de UDID, Zscaler descubrió que el 38 por ciento de las aplicaciones de iOS en su análisis todavía tenían acceso. Apple también ha prohibido a los desarrolladores rastrear direcciones MAC. El UUID es el enfoque preferido, ya que es un valor único generado por aplicación y dispositivo, evitando que los anunciantes rastreen a los usuarios a través de las aplicaciones.
Apple "realmente libró una batalla para evitar que los desarrolladores rastreen dispositivos", dijo Sutton. "Google no ha hecho nada en ese ámbito".
