Más de 1.000 apps de Android en Google Play accedieron a datos de usuarios sin autorización

El equipo de International Computer Science Institute (ICSI) analizó 88.113 apps de Android en Google Play de EE.UU. y lo que descubrió fue aterrador. Más de 1.000 aplicaciones y bibliotecas de terceros emplean canales laterales y/o canales ocultos para evitar las medidas de seguridad de Android. El objetivo es acceder a los datos de ubicación y persistentes «identificadores de dispositivos» de los usuarios.

Su conjunto de datos completo constaba de 252.864 APKs, ya que el equipo revisaba periódicamente la Play Store en busca de nuevas versiones de las 88.113 aplicaciones que planeaban analizar. Inicialmente, probaron el comportamiento de cada aplicación en un Google Nexus 5X con Android 6.0.1 Marshmallow. Pero luego volvieron a probar sus hallazgos en un Google Pixel 2 con Android Pie para demostrar que sus hallazgos seguían siendo válidos a partir del último lanzamiento en el momento de la divulgación.

Apps de Android en Google Play quedaron al descubierto

Con este conjunto de datos, el equipo desarrolló un método que utiliza el análisis dinámico y estático para detectar la elusión del modelo de permiso de Android. En otras palabras, el equipo estudió el comportamiento de la aplicación al auditar el comportamiento en tiempo de ejecución de la aplicación (análisis dinámico). También para escanear el código en busca de comportamientos potencialmente maliciosos (análisis estático). Por supuesto, los desarrolladores de aplicaciones maliciosas conocen estas técnicas, utilizando la ofuscación de código y el código dinámico. Así que el equipo de ICSI empleó una combinación de análisis estático y dinámico (análisis híbrido) en sus pruebas.

Datos vulnerados por las apps de Android

Más de 1.000 apps de Android en Google Play accedieron a datos de usuarios sin autorización

Como resultado, el equipo descubrió en sus pruebas que las aplicaciones que no tenían los permisos necesarios para disponer de los siguientes datos:

  • IMEI: dado que un IMEI es un identificador único y persistente, es útil para los servicios en línea para que puedan rastrear los móviles individualmente. El equipo descubrió que los SDK de Salmonads y Baidu estaban usando un canal oculto para leer el IMEI. Las aplicaciones con acceso legítimo al IMEI almacenaban archivos ocultos en el almacenamiento externo que contiene el IMEI del dispositivo para que otras aplicaciones sin acceso legítimo puedan leer el IMEI. Las aplicaciones identificadas que usan el SDK de Baidu de esta manera incluyen las aplicaciones de los parques temáticos de Disney para Hong Kong y Shanghai, Samsung Health y Samsung Browser.
  • Dirección MAC de la red: la dirección MAC de la red también es un identificador único, y generalmente está protegida por el permiso ACCESS_NETWORK_STATE. Según los investigadores, las aplicaciones utilizaban el código nativo de C ++ para «invocar varias llamadas del sistema UNIX sin vigilancia». El equipo identificó 42 aplicaciones que utilizan el SDK de Unity para abrir un socket de red y un ioctl para obtener la dirección MAC; aunque señalaron que De las 12.408 aplicaciones, 748 contenían el código en cuestión y carecían del permiso ACCESS_NETWORK_STATE.
  • Dirección MAC del enrutador: el permiso ACCESS_WIFI_STATE protege el BSSID, pero la lectura del caché ARP en / proc / net / arp permite que una aplicación obtenga esos datos sin necesidad de ningún permiso. El investigador identificó el SDK de OpenX como una técnica de canal lateral.
  • Geolocalización: los investigadores descubrieron que la aplicación Shutterfly estaba accediendo a las etiquetas de ubicación de los metadatos EXIF ​​de las fotos. Todo lo que se requiere es el permiso READ_EXTERNAL_STORAGE.

¿Y Android Q?

En Android Q, Google ahora requiere que las aplicaciones tengan el permiso READ_PRIVILEGED_PHONE_STATE para leer el IMEI. Los móviles que ejecutan Android Q ahora transmiten direcciones MAC aleatorias de forma predeterminada. Finalmente, los cambios en el Almacenamiento en el ámbito de Android Q mitigan la capacidad de las aplicaciones para leer los datos de ubicación de las fotos. Por lo tanto, estas preocupaciones se han abordado en la última versión de Android, pero como todos sabemos, tomará bastante tiempo para que se propague la última actualización.

En general, este estudio proporciona una visión iluminadora de cómo algunas aplicaciones acceden a los datos que deben protegerse detrás de los permisos. La investigación solo analizó un subconjunto de lo que Google denomina permisos «peligrosos», especialmente omitiendo permisos como Bluetooth, contactos y SMS. Para los detalles completos de este informe, recomiendo leer el documento presentado a la FTC.

:)