Clicky

¿Te está espiando tu teléfono inteligente?

Categoría: Seguridad
Visitas: 1121
aplicaciones móviles espia

Populares aplicaciones toman automáticamente capturas de pantalla y las envían a terceros

Algunas populares aplicaciones en tu teléfono pueden tomar secretamente capturas de pantalla de tu actividad y enviarlas a terceros, según un nuevo estudio realizado por un equipo de investigadores de Northeastern.

Los investigadores dijeron que esto es particularmente inquietante porque estas capturas de pantalla y vídeos de tu actividad en la pantalla podrían incluir nombres de usuario, contraseñas, números de tarjetas de crédito y otra importante información personal.

"Descubrimos que miles de aplicaciones populares tienen la capacidad de grabar tu pantalla y todo lo que escribas", dijo David Choffnes, uno de los dos profesores de informática que supervisó el estudio. "Eso incluye tu nombre de usuario y contraseña, porque puede registrar los caracteres que escribes antes de que se conviertan en esos pequeños puntos negros".

El estudio, "Panoptispy: Characterizing Audio and Video Exfiltration from Android Applications" [PDF], que fue realizado principalmente por dos estudiantes, la estudiante de pregrado Elleen Pan y la candidata al doctorado Jingjing Ren, fue diseñado para investigar una persistente leyenda urbana de que los teléfonos graban secretamente nuestras conversaciones y luego venden esa información a las empresas para que te den publicidad personalizada.

Si bien los investigadores no encontraron evidencia de conversaciones grabadas, descubrieron actividad que podría ser aún más peligrosa.

"Sabíamos que estábamos buscando una aguja en un pajar", dijo Choffnes, "y nos sorprendió encontrar varias agujas".

capturas de pantalla de TestFairy

Lo que encontraron es que algunas compañías estaban enviando a terceros capturas de pantalla y vídeos de actividades de teléfonos de usuarios. Aunque estas violaciones a la privacidad parecían ser benignas, enfatizaron cuán fácilmente podría explotarse con fines de lucro la ventana de privacidad de un teléfono.

"Esta apertura se usará casi con toda seguridad para propósitos maliciosos", dijo Christo Wilson, otro profesor de informática en el equipo de investigación. "Es fácil de instalar y recopilar esta información. Y lo más inquietante es que esto ocurre sin notificación ni permiso por parte de los usuarios.

"En el caso que detectamos, la información enviada a un tercero era de códigos postales, pero con la misma facilidad podría haber números de tarjetas de crédito", agregó.

El estudio

Los investigadores analizaron más de 17.000 de las aplicaciones más populares en el sistema operativo Android, utilizando un programa de prueba automatizado escrito por los estudiantes. Aunque el estudio se llevó a cabo en teléfonos con Android, tanto Wilson como Choffnes dijeron que no hay razón para creer que otros sistemas operativos telefónicos serían menos vulnerables.

Pan comenzó el proyecto en el otoño de 2017 como una cooperativa de investigación y continuó trabajando en él hasta que se graduó en mayo. Ella presentará el documento en Barcelona a finales de este mes en la Conferencia del Simposio de Tecnología de Mejora de la Privacidad.

"Al entrar en este proyecto, no pensé mucho sobre la privacidad del teléfono y tampoco lo hicieron mis amigos", dijo Pan, quien es la primera autora del artículo. "Esto definitivamente ha despertado mi interés en la investigación, y consideraré regresar a la escuela de postgrado".

diseño del experimento de aplicaciones espía

Pero por el momento, Pan se está preparando para la conferencia de Barcelona y comenzará un trabajo en agosto como ingeniera de software para Square, una compañía de pagos móviles.

Mientras realizaba la investigación, Wilson dijo que el equipo estaba bastante sorprendido cuando llegaron a los resultados.

"No hubo fugas de audio en absoluto, ni una sola aplicación activó el micrófono", dijo. "Luego comenzamos a ver cosas que no esperábamos. Las aplicaciones automáticamente tomaban capturas de pantalla de sí mismas y las enviaban a terceros".

En total, 9.000 de las 17.000 aplicaciones tenían el potencial de tomar capturas de pantalla.

"En un caso, la aplicación tomó vídeo de la actividad de la pantalla y envió esa información a un tercero", dijo Wilson.

Esa aplicación fue GoPuff, un servicio de entrega de comida rápida, que envió las capturas de pantalla a Appsee, una firma de análisis de datos para dispositivos móviles. Todo esto se hizo sin la conciencia de los usuarios de la aplicación.

Tanto Wilson como Choffnes enfatizaron que ninguna de las compañías parecía tener ninguna intención nefasta. Dijeron que los desarrolladores web usan comúnmente este tipo de información para depurar sus aplicaciones y mejorar la experiencia del usuario.

Pero eso no significa que una empresa maliciosa no pueda usar esta ventana de privacidad para robar información personal con fines de lucro.

"Eso tiene el potencial de ser mucho peor que tener la cámara tomando fotos del techo o el micrófono grabando conversaciones sin sentido", dijo Choffnes. "No hay una manera fácil de cerrar esta apertura de privacidad".

GoPuff ha cambiado sus términos de acuerdo de servicio para alertar a los usuarios que la compañía puede tomar capturas de pantalla de sus patrones de uso. Google emitió una declaración enfatizando que su política requiere que los desarrolladores divulguen a los usuarios cómo se recopilará su información.

Pero Wilson dijo que esto protege a las compañías de las demandas legales mientras que hacen poco para proteger la privacidad de los usuarios, quienes rara vez leen estos largos acuerdos legalistas.

Ambos dijeron que la ventana de privacidad no se cerrará hasta que las compañías telefónicas rediseñen sus sistemas operativos, lo que no es probable que suceda pronto.