Nuevo tratamiento de los permisos en Google Play

El nuevo tratamiento de los permisos de aplicación de Google Play puede abrir una brecha de seguridad



La última actualización de Google Play, concretamente la versión 4.8 ha tenido muy buenas críticas sobre todo por sus mejoras en la interface de usuario.

Sin embargo, los últimos días ha saltado un aviso sobre la nueva forma en que se manejan los permisos en esta aplicación que puede llevar a problemas de seguridad bastante graves.

En concreto, el cambio ha sido la agrupación de permisos en trece categorías diferentes. Desde Google justifican este cambio para facilitar la elección del usuario y para reducir el número de opciones que debía conocer.

En estas categorías se incluyen servicios similares pero con diferente nivel de acceso, por ejemplo, dentro de la categoría "Wifi" tenemos tanto el permiso de "Ver conexiones WiFi" como el permiso "Activar conexión WiFi" que como podemos imaginar llevan a cabo acciones con implicaciones totalmente diferentes.

El caso es que a partir de la última versión, Google Play no nos avisa de los permisos nuevos que solicita una aplicación si no sólo de las categorías nuevas. ¿Qué significa esto ? Que una aplicación puede requerir al actualizarse el permiso de "Activar conexión WiFi" pero como al instalarse ya solicitó un permiso con nivel menor pero de la misma categoría (en este caso "Ver conexiones WiFi") Google Play no nos solicitará este permiso adicional provocando un agujero de seguridad en el sistema.

Sólo por concretar hasta el punto que puede ser grave esta modificación, en Reddit un usuario ha creado un hilo para demostrar que una aplicación con una serie mínima de permisos puede escalar en sus actualizaciones para conseguir permisos adicionales. En el ejemplo, la instalación de la aplicación solicitaba estos permisos:

  1. android.permission.GET _TOP _ACTIVITY _INFO
  2. android.permission.GET _ACCOUNTS
  3. android.permission.ACCESS _COARSE _LOCATION
  4. android.permission.WRITE _CALL _LOG
  5. android.permission.READ _EXTERNAL _STORAGE
  6. android.permission.SUBSCRIBED _FEEDS _WRITE

Pero al actualizarse conseguía además los siguientes permisos sin notificárselo al usuario:

  1. android.permission.READ _HISTORY _BOOKMARKS
  2. android.permission.READ _PHONE _STATE
  3. android.permission.ACCESS _FINE _LOCATION
  4. android.permission.ACCESS _LOCATION _EXTRA _COMMANDS
  5. android.permission.READ _SMS
  6. android.permission.RECEIVE _MMS
  7. android.permission.RECEIVE _SMS
  8. android.permission.SEND _SMS
  9. android.permission.WRITE _SMS
  10. android.permission.WRITE _EXTERNAL _STORAGE
  11. android.permission.MOUNT _FORMAT _FILESYSTEMS
  12. android.permission.MOUNT _UNMOUNT _FILESYSTEMS
  13. android.permission.SUBSCRIBED _FEEDS _READ

Por supuesto, esta escalada de derechos supone una vulnerabilidad más en Android que debería preocuparnos, sobre todo los permisos para enviar y recibir SMS que nos pueden llevar a suscripciones a servicios premium y demás o para escribir en las tarjetas externas.

¿Cómo podemos evitar este error de seguridad ? En principio siguiendo los consejos de siempre: evitar las aplicaciones de fuentes desconocidas, desactivar las actualizaciones automáticas y comprobar exahustivamente los permisos solicitados.

También podemos optar por instalar aplicaciones que supervisen los permisos y las aplicaciones que los solicitan como por ejemplo XPrivacy, Privacy Guard 2.0 o Apps Ops.



Páginas relacionadas