M谩s de 1.000 apps de Android en Google Play accedieron a datos de usuarios sin autorizaci贸n

El equipo de International Computer Science Institute (ICSI) analiz贸 88.113 apps de Android en Google Play de EE.UU. y lo que descubri贸 fue aterrador. M谩s de 1.000 aplicaciones y bibliotecas de terceros emplean canales laterales y/o canales ocultos para evitar las medidas de seguridad de Android. El objetivo es acceder a los datos de ubicaci贸n y persistentes «identificadores de dispositivos» de los usuarios.

Su conjunto de datos completo constaba de 252.864 APKs, ya que el equipo revisaba peri贸dicamente la Play Store en busca de nuevas versiones de las 88.113 aplicaciones que planeaban analizar. Inicialmente, probaron el comportamiento de cada aplicaci贸n en un Google Nexus 5X con Android 6.0.1 Marshmallow. Pero luego volvieron a probar sus hallazgos en un Google Pixel 2 con Android Pie para demostrar que sus hallazgos segu铆an siendo v谩lidos a partir del 煤ltimo lanzamiento en el momento de la divulgaci贸n.

Apps de Android en Google Play quedaron al descubierto

Con este conjunto de datos, el equipo desarroll贸 un m茅todo que utiliza el an谩lisis din谩mico y est谩tico para detectar la elusi贸n del modelo de permiso de Android. En otras palabras, el equipo estudi贸 el comportamiento de la aplicaci贸n al auditar el comportamiento en tiempo de ejecuci贸n de la aplicaci贸n (an谩lisis din谩mico). Tambi茅n para escanear el c贸digo en busca de comportamientos potencialmente maliciosos (an谩lisis est谩tico). Por supuesto, los desarrolladores de aplicaciones maliciosas conocen estas t茅cnicas, utilizando la ofuscaci贸n de c贸digo y el c贸digo din谩mico. As铆 que el equipo de ICSI emple贸 una combinaci贸n de an谩lisis est谩tico y din谩mico (an谩lisis h铆brido) en sus pruebas.

Datos vulnerados por las apps de Android

M谩s de 1.000 apps de Android en Google Play accedieron a datos de usuarios sin autorizaci贸n

Como resultado, el equipo descubri贸 en sus pruebas que las aplicaciones que no ten铆an los permisos necesarios para disponer de los siguientes datos:

  • IMEI: dado que un IMEI es un identificador 煤nico y persistente, es 煤til para los servicios en l铆nea para que puedan rastrear los m贸viles individualmente. El equipo descubri贸 que los SDK de Salmonads y Baidu estaban usando un canal oculto para leer el IMEI. Las aplicaciones con acceso leg铆timo al IMEI almacenaban archivos ocultos en el almacenamiento externo que contiene el IMEI del dispositivo para que otras aplicaciones sin acceso leg铆timo puedan leer el IMEI. Las aplicaciones identificadas que usan el SDK de Baidu de esta manera incluyen las aplicaciones de los parques tem谩ticos de Disney para Hong Kong y Shanghai, Samsung Health y Samsung Browser.
  • Direcci贸n MAC de la red: la direcci贸n MAC de la red tambi茅n es un identificador 煤nico, y generalmente est谩 protegida por el permiso ACCESS_NETWORK_STATE. Seg煤n los investigadores, las aplicaciones utilizaban el c贸digo nativo de C ++ para «invocar varias llamadas del sistema UNIX sin vigilancia». El equipo identific贸 42 aplicaciones que utilizan el SDK de Unity para abrir un socket de red y un ioctl para obtener la direcci贸n MAC; aunque se帽alaron que De las 12.408 aplicaciones, 748 conten铆an el c贸digo en cuesti贸n y carec铆an del permiso ACCESS_NETWORK_STATE.
  • Direcci贸n MAC del enrutador: el permiso ACCESS_WIFI_STATE protege el BSSID, pero la lectura del cach茅 ARP en / proc / net / arp permite que una aplicaci贸n obtenga esos datos sin necesidad de ning煤n permiso. El investigador identific贸 el SDK de OpenX como una t茅cnica de canal lateral.
  • Geolocalizaci贸n: los investigadores descubrieron que la aplicaci贸n Shutterfly estaba accediendo a las etiquetas de ubicaci贸n de los metadatos EXIF 鈥嬧媎e las fotos. Todo lo que se requiere es el permiso READ_EXTERNAL_STORAGE.

驴Y Android Q?

En Android Q, Google ahora requiere que las aplicaciones tengan el permiso READ_PRIVILEGED_PHONE_STATE para leer el IMEI. Los m贸viles que ejecutan Android Q ahora transmiten direcciones MAC aleatorias de forma predeterminada. Finalmente, los cambios en el Almacenamiento en el 谩mbito de Android Q mitigan la capacidad de las aplicaciones para leer los datos de ubicaci贸n de las fotos. Por lo tanto, estas preocupaciones se han abordado en la 煤ltima versi贸n de Android, pero como todos sabemos, tomar谩 bastante tiempo para que se propague la 煤ltima actualizaci贸n.

En general, este estudio proporciona una visi贸n iluminadora de c贸mo algunas aplicaciones acceden a los datos que deben protegerse detr谩s de los permisos. La investigaci贸n solo analiz贸 un subconjunto de lo que Google denomina permisos «peligrosos», especialmente omitiendo permisos como Bluetooth, contactos y SMS. Para los detalles completos de este informe, recomiendo leer el documento presentado a la FTC.

:)