Actualizado el 10 de octubre del 2018: Google ha cambiado la configuración de los permisos de aplicaciones en Android Oreo, añadiendo una nueva sección llamada “Acceso especial de aplicaciones”. Más información disponible en “Permisos de aplicaciones en Android 8: Guía completa“.
Cuando se trata de malware, Android tiene un mecanismo de defensa muy bueno (el sistema de permisos de aplicaciones). Este sistema define una serie de acciones que una aplicación tiene permitidas (o no) para funcionar. Por defecto, todas las aplicaciones de Android funcionan en aislamiento de procesos (un entorno aislado). Si quieren acceder, editar o borrar información fuera de dicho aislamiento, necesitarán los permisos del sistema.
Los permisos se dividen en varias categorías, pero hablaremos solo de dos: normal y peligroso. Los permisos normales cubren acciones como el acceso a Internet, la creación de iconos, conexión Bluetooth, etc. Estos permisos se conceden por defecto y la aprobación del usuario no es necesaria.
Si una aplicación necesita uno de los permisos “peligrosos”, se requiere la confirmación del usuario. Entonces, ¿por qué se considera que algunos permisos son peligrosos? ¿De verdad son por naturaleza peligrosos? ¿En qué casos deberías permitirlos?
Permisos peligrosos
La categoría “peligrosa” incluye nueve grupos de permisos en los que las aplicaciones están, de algún modo, conectadas con la privacidad o seguridad del usuario. Cada grupo contiene varios permisos que una aplicación puede requerir.
Si un usuario aprueba uno de los permisos, la aplicación obtiene todos los permisos del mismo grupo automáticamente, sin confirmación adicional. Por ejemplo, si una aplicación obtiene permiso para leer mensajes de texto, también podrá enviar mensajes, leer MMS y realizar otras operaciones de este grupo.
Calendario
Qué permite:
- Leer eventos almacenados en el calendario (READ_CALENDAR).
- Editar antiguos eventos y crear nuevos (WRITE_CALENDAR).
Por qué es peligroso: si utilizas de forma activa tu calendario diario, la aplicación lo sabrá todo sobre tu rutina y podría compartirla con ciberdelincuentes. Además, una aplicación con errores podría eliminar por accidente reuniones importantes del calendario.
Cámara
Qué permite:
- El acceso a la cámara (CAMERA) permite a la aplicación utilizar tu teléfono para hacer fotos y grabar vídeos.
Por qué es peligroso: una aplicación puede grabar vídeo y hacer fotos en secreto en cualquier momento.
Contactos
Qué permite:
- Leer contactos (READ_CONTACTS).
- Editar y añadir nuevos contactos (WRITE_CONTACTS).
- Acceder a la lista de cuentas (GET_ACCOUNTS).
Por qué es peligroso: una aplicación puede copiar toda tu libreta de direcciones. Esta información es muy atractiva para los spammers y los estafadores. Este permiso también concede acceso a la lista de todas las cuentas que usas en las aplicaciones del dispositivo: Google, Facebook, Instagram, entre otros servicios.
Localización
Qué permite:
- Acceder a la localización aproximada (ACCESS_COARSE_LOCATION) basada en los datos de las antenas móviles y los puntos wifi.
- Acceder a tu localización exacta (ACCESS_FINE_LOCATION), basada en los datos GPS.
Por qué es peligroso: la aplicación sabe dónde estás en todo momento. Podría, por ejemplo, decir a los delincuentes cuándo no estás en casa.
Micrófono
Qué permite:
- Grabar vídeo desde el micrófono (RECORD_AUDIO).
Por qué es peligroso: la aplicación puede grabar todo lo que sucede a tu alrededor. Todas tus conversaciones. No solo mientras hablas por teléfono, sino durante todo el día.
Teléfono
Qué permite
- Leer el estado del teléfono (READ_PHONE_STATE) permite a la aplicación saber tu número de teléfono, la información actual de la red móvil, el estado de las llamadas en curso, etc.
- Hacer llamadas (CALL_PHONE).
- Leer la lista de llamadas (READ_CALL_LOG).
- Cambiar la lista de llamadas (WRITE_CALL_LOG).
- Añadir mensajes de voz (ADD_VOICEMAIL).
- Usar VoIP (USE_SIP).
- Procesar permisos de llamadas salientes (PROCESS_OUTGOING_CALLS) permite a la aplicación ver quién llama, colgar el teléfono o redireccionar a otro número.
Por qué es peligroso: cuando concedes acceso a los permisos del teléfono, permites a la aplicación que recopile casi cualquier acción asociada a las comunicaciones de voz. La aplicación sabrá cuándo y con quién has hablado (y puede llamar a cualquier parte, incluidos los números de pago y lo pagarás tú).
Sensores corporales
Qué permite:
- (BODY_SENSORS): este permiso permite el acceso a la información sobre tu salud desde ciertos sensores, como el monitor cardíaco.
Por qué es peligroso: si usas accesorios con sensores corporales (no los sensores de movimiento integrados en el teléfono), la aplicación recibe información sobre lo que sucede en tu cuerpo.
Mensajes de texto
Qué permite:
- Enviar mensajes de texto (SEND_SMS).
- Leer mensajes de texto guardados (READ_SMS).
- Recibir mensajes de texto (RECEIVE_SMS).
- Recibir mensajes push WAP (RECEIVE_WAP_PUSH).
- Recibir mensajes MMS entrantes (RECEIVE_MMS).
Por qué es peligroso: permite a la aplicación leer tus mensajes de texto entrantes y también enviarlos (pagando tú, claro). Por ejemplo, los ciberdelincuentes pueden usar este permiso para suscribir víctimas a servicios de pago no deseados.
Vía @KasperskyES 10 consejos para conseguir la máxima seguridad en tu dispositivo #Android http://t.co/tx1rWMEVWe pic.twitter.com/yq6MfmuhJg
— Guardia Civil (@guardiacivil) November 17, 2014
Almacenamiento
Qué permite:
- Leer tarjetas SD u otro almacenamiento (READ_EXTERNAL_STORAGE).
- Guardar registros en el almacenamiento o la tarjeta SD (WRITE_EXTERNAL_STORAGE).
Por qué es peligroso: La aplicación puede leer, cambiar o borrar cualquier archivo almacenado en tu teléfono.
Cómo configurar los permisos de las aplicaciones
Deberías sopesar con cuidado cada permiso que concedes para no poner en riesgo tu seguridad en Internet. Por ejemplo, sería extraño que un juego o una herramienta de edición de fotos quisiera acceder a tu localización actual. A su vez, los mapas y los navegadores sí que necesitan la información GPS (pero no acceder a la lista de contactos o a los mensajes de texto).
En Android 6 y posteriores, las aplicaciones piden permiso al usuario siempre que necesitan uno de los permisos peligrosos. Si no quieres concederlos, siempre puedes rechazar la petición. Por supuesto, si la aplicación los necesita de verdad, mostrará un mensaje de error y no funcionará bien.
También puedes comprobar la lista de permisos y cambiar cualquiera de los permisos de la aplicación. Empieza a considerar Ajustes → Aplicaciones (puede que las secciones del menú tengan nombres diferentes según tu versión de Android).
Ahora, puedes hacer dos cosas. En primer lugar, comprobar todos los permisos asignados a una aplicación en concreto. Para ello, haz clic en el nombre de la aplicación y elige Permisos.
En segundo lugar, mirar la lista completa de aplicaciones que ya han pedido o pueden pedir algunos de los permisos peligrosos. Por ejemplo, es una buena idea comprobar qué aplicaciones quieren acceder a tu lista de contactos y prohibírselo a las sospechosas. Para ello, selecciona Configurar aplicaciones (la tuerca superior derecha) y luego haz clic Permisos de aplicaciones.
Permisos de acceso especial
Además de los permisos peligrosos, una aplicación también puede pedir permisos de acceso especial. Cuando ello suceda, deberías tener cuidado: los troyanos suelen pedir este tipo de permisos.
Accesibilidad
Este permiso simplifica el trabajo con aplicaciones y dispositivos a personas con dificultades auditivas o de visión. El malware puede abusar de estas características.
Una vez obtenidos dichos permisos, los troyanos pueden interceptar datos desde aplicaciones (incluida la entrada de texto, cuyo objetivo principal son las contraseñas). Además, el malware adquiere la habilidad de comprar aplicaciones en la Google Play Store.
Aplicación de mensajería por defecto
Los troyanos bancarios intentan convertirse en la aplicación de mensajería por defecto porque así pueden leer mensajes de texto y ocultarlos (incluso en las últimas versiones de Android). Por ejemplo, los troyanos pueden usar esta característica para interceptar contraseñas bancarias y confirmar transacciones maliciosas sin que el usuario lo sepa (recuerda, pueden esconder mensajes de texto).
Troyano en #Android manipula valoraciones de #apps y escribe comentarios falsos https://t.co/rnIBu8EvN3 pic.twitter.com/zYhlsHAf1K
— Kaspersky España (@KasperskyES) September 5, 2016
Siempre por encima
Los permisos para cubrir las ventanas de otras aplicaciones permiten a los troyanos mostrar ventanas phishing por encima de las aplicaciones legítimas (bancarias y redes sociales en mayor medida). Las víctimas creen que están introduciendo sus contraseñas en los formularios de aplicaciones reales, pero en realidad todo sucede en una ventana falsa que el troyano muestra para enviar información a los delincuentes.
Privilegios de administrador del dispositivo
Estos privilegios permiten al usuario cambiar la contraseña, bloquear la cámara o borrar todos los datos del dispositivo. Las aplicaciones maliciosas suelen intentar conseguir dichos permisos; las aplicaciones con privilegios de administrador son difíciles de desinstalar.
Permisos root
Estos son los permisos más peligrosos. Por defecto, Android nunca los facilita a las aplicaciones, pero algunos troyanos pueden aprovecharse de las vulnerabilidades del sistema para conseguirlos. Una vez obtenidos, todas las defensas son inútiles (el malware puede usar los privilegios root siempre que quiera sin importar los permisos que conceda o deniegue la víctima).
Cabe destacar que ni los nuevos permisos del sistema (lanzados en Android 6) protegen totalmente del malware. Por ejemplo, el troyano Gugi muestra peticiones de permisos a las víctimas hasta que los conceden. Luego, el malware cubre las ventanas de las otras aplicaciones hasta que consigue todos los permisos que quiere.
Conclusiones
Las aplicaciones no deberían tener permiso para hacer todo lo que quieran en tu teléfono (en especial si quieren permisos peligrosos sin razón alguna).
Sin embargo, algunas aplicaciones sí necesitan tantos permisos. Por ejemplo, los programas antivirus necesitan muchos permisos para analizar un sistema y protegerlo de forma proactiva de amenazas.
La conclusión aquí es fácil: antes de conceder el acceso a algunos permisos, plantéate si la aplicación los necesita. Si no estás seguro, investígalo por Internet.
Más de 400 aplicaciones de #GooglePlay han resultado estar infectadas con el #troyano DressCode https://t.co/2dPyg6QxXJ #apps pic.twitter.com/lt58olDnCl
— Kaspersky España (@KasperskyES) October 11, 2016
Y, por último, pero no menos importante: ni los usuarios más cuidadosos están a salvo si el malware se aprovecha de las vulnerabilidades del sistema. Por ello, es importante gestionar los permisos de tus aplicaciones de manera adecuada, lo que te ayuda a proteger tu privacidad de aplicaciones que te espían, además de instalar una protección contra virus y malware que defienda tus dispositivos de los troyanos y virus más peligrosos.
Actualizado el 10 de octubre del 2018: Google ha cambiado la configuración de los permisos de aplicaciones en Android Oreo, añadiendo una nueva sección llamada “Acceso especial de aplicaciones”. Más información disponible en “Permisos de aplicaciones en Android 8: Guía completa“.