Miles de aplicaciones de Android pueden rastrear tu teléfono, incluso si niegas los permisos

Cuando le dices explícitamente a una aplicación de Android: "No, no tienes permiso para rastrear mi teléfono", probablemente esperas que no tenga habilidades que lo permitan. Pero los investigadores dicen que miles de aplicaciones han encontrado formas de engañar al sistema de permisos de Android, al llamar a casa el identificador único de su dispositivo y los datos suficientes para revelar su ubicación. Incluso si dice "no" a una aplicación cuando le pide permiso para ver esos bits de datos que lo identifican personalmente, puede que no sea suficiente: una segunda aplicación con permisos que haya aprobado puede compartir esos bits con la otra o dejarlos en almacenamiento compartido donde otra aplicación, potencialmente incluso maliciosa, puede leerlo. Es posible que las dos aplicaciones no parezcan relacionadas, pero los investigadores dicen que debido a que se construyen con los mismos kits de desarrollo de software (SDK), pueden acceder a esos datos y hay pruebas de que los propietarios de SDK los están recibiendo. Es como un niño que pide un postre al que un padre le dice "no", por lo que le preguntan al otro.

Resultados de la Investigación PrivacyCon

 Según un estudio presentado en PrivacyCon 2019 , estamos hablando de aplicaciones de Samsung y Disney que se han descargado cientos de millones de veces. Usan los SDK creados por el gigante chino de búsquedas Baidu y una firma de análisis llamada Salmonads que podría pasar sus datos de una aplicación a otra (y a sus servidores) al almacenarlos localmente en su teléfono.
Los investigadores vieron que algunas aplicaciones que utilizan el SDK de Baidu pueden estar intentando obtener estos datos de forma silenciosa para su propio uso.

Canales encubiertos y canales laterales.

 Esto se suma a una serie de vulnerabilidades del canal lateral que el equipo encontró, algunas de las cuales pueden enviar a casa las direcciones MAC únicas de su chip de red y enrutador, el punto de acceso inalámbrico, su SSID y más. "Es bastante conocido ahora que es un sustituto bastante bueno para los datos de ubicación", dijo Serge Egelman, director de investigación del Grupo de Seguridad y Privacidad Útil del Instituto Internacional de Ciencias de la Computación (ICSI), cuando presentó el estudio en PrivacyCon.