Los usuarios empresariales corren el riesgo de perder datos a través del 78% de las aplicaciones móviles

Muchas aplicaciones móviles vienen con una gran cantidad de anuncios, la capacidad de conectarse a las redes sociales, o ambas. Estos pueden parecer complementos inofensivos, colocados en la aplicación con fines de lucro para el desarrollador de la aplicación. Sin embargo, estas características pueden tener la capacidad de acceder a la PII de un usuario o información de identificación personal. La capacidad de los complementos para acceder a información confidencial es peligrosa no solo porque sus funciones pueden recopilar información confidencial después de que el usuario aprueba los permisos de la aplicación, sino que la información también puede exponerse sin el conocimiento del usuario.

Un estudio realizado por Mojave Networks, una startup de seguridad tecnológica con sede en San Mateo, California, utilizó sus Threat Labs para probar 11 millones de URL que envían y reciben datos en más de 2000 aplicaciones instaladas por sus clientes, con el estudio centrado en los usuarios comerciales. Estas URL se colocaron en categorías según su conexión con una de las tres bibliotecas: redes publicitarias, API de redes sociales o API de análisis. Los resultados mostraron que el 78 por ciento de las aplicaciones descargadas conectadas a uno de los tres grupos, lo que pone a los usuarios en riesgo de acceso desconocido a su información personal o, lo que es peor, pérdida de datos personales o comerciales.

La falta de responsabilidad

Lo que es aún más sorprendente es cómo se implementan estas bibliotecas. Los utiliza el desarrollador, que recibe el código de un tercero. Estos códigos se utilizan principalmente para ayudar a recaudar ingresos publicitarios, realizar un seguimiento de las estadísticas de los usuarios o integrarse con las redes sociales. El informe mencionó que hay miles de estas bibliotecas disponibles y, en su mayor parte, estos códigos de terceros generalmente no recopilan PII. Sin embargo, no todos son confiables. En la mayoría de los casos, el desarrollador generalmente implementará el código con poca o ninguna revisión de lo que contiene, dejándolo con la decisión de confiar ciegamente en el juicio del desarrollador y arriesgarse a permitir que estas bibliotecas accedan a sus datos sin su conocimiento.

Para empeorar las cosas, el usuario está sujeto a las políticas particulares de la biblioteca simplemente descargando e instalando la aplicación sin ver nunca los detalles de la política. Desde el punto de vista comercial, esto puede resultar en una falta de responsabilidad y dificulta que los administradores de TI decidan qué aplicación representa un riesgo de seguridad.

En promedio, cada aplicación tiene aproximadamente nueve permisos. Se considera que cinco de ellos son muy peligrosos, ya que pueden proporcionar acceso a información que de otro modo se mantendría privada. Por ejemplo, Airpush, una de las principales bibliotecas de anuncios del estudio, recopila los siguientes datos:

• ID de Android
• Marca y modelo del dispositivo
• Tipo y versión de navegador móvil
• dirección IP
• Una identificación generada por Airpush
• Lista de aplicaciones móviles instaladas en el teléfono.
• "Otros datos técnicos sobre su dispositivo".

Si le das permiso para hacerlo, Airpush también puede recopilar:

• Geolocalización precisa, incluyendo país y código postal.
• ID de dispositivo, incluido el número de Identidad internacional de equipo móvil (IMEI), el número de serie del dispositivo y la dirección de Control de acceso a medios (MAC).
• Historial del navegador y más.

Los usuarios pueden optar por no participar en la recopilación de datos, como la lista de aplicaciones móviles instaladas y el historial del navegador.

Si instala una aplicación que utiliza Airpush, puede obtener acceso a toda esta información sin su conocimiento. La peor parte es que este amplio acceso a la información privada es típico y no es nada nuevo en el mercado de aplicaciones móviles.

Prevención de usuario

Solo hay muchas cosas que el usuario puede hacer en términos de permitir y rechazar los permisos para cada aplicación, especialmente si desea obtener todo el potencial de la aplicación. Afortunadamente, hay dos grandes aplicaciones que se encargan de detectar estas posibles infracciones.

Si Lookout determina que una red publicitaria está actuando por sí sola, sin el consentimiento del usuario, clasifica la red como adware. Además, proporciona información sobre el adware, incluida su identificación, función y posibles daños para el usuario. viaProtect es otra gran herramienta, que proporciona un gráfico visual sobre el destino de los datos del usuario en términos de red y país y la cantidad de datos cifrados. Esto permite al usuario tomar una decisión informada sobre si eliminar o no ciertas aplicaciones que brindan demasiada información.

La seguridad es primordial en la era digital. Aplicaciones como Lookout y viaProtect les permiten a los usuarios saber si sus datos están en riesgo, pero aún es difícil evitar que las bibliotecas puedan acceder a la PII de un usuario. Por ahora, leer la letra pequeña y tomar una decisión informada es la mejor manera de contrarrestar el acceso no deseado en un dispositivo móvil.