Universidad Veracruzana

Skip to main content

Noti_infosegura: Permisos en las aplicaciones móviles

Cualquier aplicación que instalemos en nuestro dispositivo móvil necesita realizar diversas acciones para funcionar que, previamente hemos de aprobar. Debemos ser cautos con los permisos que aceptamos para evitar problemas de seguridad y privacidad.

Imaginemos esta situación: después de buscar un poco, hemos encontrado una aplicación que nos permite utilizar el flash de la cámara de nuestro móvil como una linterna, para cuando se va la luz en medio de una tormenta. La descargamos y minutos después está instalada y funcionando.

Eso debió ser lo que pasó hace algunos meses cuando miles de personas instalaron una aplicación de Android que además de hacer las veces de linterna, suscribía al propietario del móvil a servicios de SMS Premium, sin que éste lo supiese. ¿Cómo pudo suceder? Entre los permisos solicitados por la aplicación, estaban los de leer los mensajes SMS y conectarse a Internet. A pesar de lo inofensivo que parecen tales permisos, con éstos la aplicación se conectaba a una página web, suscribía al usuario a un servicio de SMS Premium y obtenía de manera automática el código de verificación que el operador remitía por SMS al usuario, para confirmar la suscripción.

No debemos alarmarnos. ¿Es muy común encontrar aplicaciones como la del caso indicado? No. Google y Apple disponen de estrictos controles para analizar las aplicaciones y detectar comportamientos maliciosos. Las aplicaciones que consiguen saltarse estos controles son muy pocas. Aunque en este caso los permisos solicitados no eran extraños, sí lo eran para la funcionalidad de la aplicación. ¿Es necesaria la conexión a Internet para encender el LED de la cámara? No. Este ejemplo extremo muestra lo importante que es fijarse en los permisos solicitados por una aplicación y desconfiar cuando éstos no sean necesarios para la función que va a realizar.

Los permisos son el conjunto de acciones que le permitimos hacer a una aplicación con nuestro dispositivo y la información que contiene. Por ejemplo: leer nuestros mensajes SMS, conectarse a Internet, obtener nuestra posición geográfica, acceder a los datos que almacenamos o poder leer los datos de nuestros contactos, entre muchos otros. Instalar una aplicación es como darle nuestro móvil a alguien que no conocemos y decirle lo que puede o no puede hacer con él, lo que puede o no puede mirar. Si queremos que esa persona nos diga cómo llegar a casa, no necesitará acceder al nombre de nuestros contactos.

Sin embargo, debido al número y variedad de aplicaciones que existen y surgen cada día, su instalación y funcionamiento en nuestros dispositivos se ha convertido en procesos a los que apenas prestamos atención. A menudo ni siquiera leemos los permisos que autorizamos. Siguiendo con la analogía, sería como darle nuestro móvil a alguien y dejar que haga lo que quiera con él mientras nos guíe a casa.

Es importante que sepamos que la gestión de permisos en Android y iOS (Apple) es muy diferente.

  • En Android, los permisos de una aplicación funcionan «como un bloque». Todos ellos se solicitan al instalar la aplicación y es necesario que los autoricemos todos, de lo contrario la aplicación no se instalará. En posteriores actualizaciones, sólo se solicitará autorizar aquellos permisos no solicitados previamente. Por ejemplo, si ahora la aplicación requiere acceder a los datos de los contactos pero antes no era necesario. Tampoco podremos deshabilitar permisos individuales para una aplicación.
  • En iOS, los permisos se gestionan de una manera más «independiente» unos de otros. La aplicación solicita permiso en el momento que lo requiere (por ejemplo, acceder a nuestra localización geográfica), pero no estamos obligados a autorizarlo, en cuyo caso alguna funcionalidad de la aplicación puede no funcionar correctamente. En el caso de iOS sí que es posible habilitar y deshabilitar permisos específicos de las aplicaciones, sin necesidad de tener que desinstalarlas, lo que proporciona un mayor control de la información.

A pesar del ejemplo, no debemos pensar que el problema está sólo en las aplicaciones que realizan acciones maliciosas. Aunque una aplicación sea totalmente legítima, puede que no sea necesario que conozca nuestra posición geográfica o lea los datos que guardamos en el móvil. Esa información forma parte de nuestra privacidad y aunque no vaya a ser utilizada con malos propósitos, debemos protegerla de accesos innecesarios.

¿Qué medidas podemos tomar para llevar un control adecuado de los permisos que concedemos a las aplicaciones? Aunque son diversas, las principales son:

  • Instala siempre aplicaciones de los «mercados» oficiales como Google Play y Apple Store, ya que pasan estrictos controles adicionales, y evitar las aplicaciones de webs «pirata».
  • Si tienes Android, revisa siempre los permisos cuando instales una aplicación. Si actualizas una aplicación, ten en cuenta que puede solicitar permisos adicionales. Revísalos.
  • Si tienes iPhone, presta atención cuando una aplicación te solicite permiso para realizar una determinada acción. También debes revisar y deshabilita periódicamente los permisos que no sean necesarios.
  • Instala un antivirus para tu dispositivo móvil. Muchos de ellos disponen de funcionalidades que permiten ver los permisos concedidos agrupados, lo que nos permitirá llevar un seguimiento adecuado. Esto es especialmente útil en el caso de Android.
  • Si tienes dudas con una aplicación, revisa los comentarios de otros usuarios y busca información sobre los permisos que solicita.
  • Haz uso de herramientas como CONAN mobile que te indica las aplicaciones que tienes instaladas en el dispositivo y los permisos que poseen cada una catalogadas por nivel de riesgo: alto, medio y bajo.

 

 Fuente: http://www.osi.es/es/actualidad/blog/2015/

Fecha de consulta: 16 Abril 2015

 

 

Enlaces de pie de página

Ubicación

Rectoría.
Lomas del Estadio SN.
Col. Zona Universitara.
Xalapa, Veracruz.

Redes sociales

Transparencia

Código de ética

Última actualización

Fecha: 28 noviembre, 2024 Responsable: Coordinación de Gestión de Incidentes de Ciberseguridad Contacto: contactocsirt@uv.mx