Dependiendo de su función, cada aplicación reclama acceso a diversos sectores y datos del dispositivo. Los permisos que tiene cada app pueden verse no solo al descargarla sino también ingresando, desde Android, a Ajustes/Aplicaciones/(Nombre de la aplicación)/Permisos.
Allí el usuario encontrará una detallada lista con los permisos que tiene la app. Al clickear sobre cada uno aparecerá una breve descripción para entender por qué se pide acceso a determinadas funciones o datos.
¿Qué debería llamar la atención? Por ejemplo, que un juego reclame poderes para poder enviar mensajes de texto.
La lista de permisos
-Llamadas telefónicas: es empleado sobre todo en las aplicaciones de mensajería de cualquier tipo ya que no solo algunas permiten realizar llamadas sino también acceder a atajos para hacerlas. Existen apps malintencionadas que pueden usar ese permiso y generar costos a los usuarios.
-Enviar SMS: al igual que en el caso anterior, están sobre todo vinculados a aplicaciones de mensajería o redes sociales, que desde hace un tiempo permiten vincular contactos para contactarlos de manera más sencilla. Este permiso también es explotado por apps con la capacidad de suscribir al usuario a servicios de mensajes costosos o bien leer los SMS.
-Modificar o eliminar el contenido del almacenamiento: esto permite a la aplicación acceder a la memoria del dispositivo. Muchas lo emplean para almacenar su configuración o bien, en el caso de una aplicación de fotos, crear álbumes. Un atacante podría usar este permiso para robar archivos.
-Leer y modificar contactos: está presente sobre todo en aplicaciones de mensajería, redes sociales y agendas. Se emplea para sincronizar contactos y por ende se debe tener precaución con su uso.
-Historial web: permite acceder a las páginas visitadas y es empleada sobre todo por navegadores y herramientas para realizar copias de seguridad. Cualquier otra app que desee acceso a esos datos debería llamar la atención ya que podría ver el comportamiento del usuario.
-Leer la identidad y el estado del teléfono: la mayoría de las aplicaciones pide este permiso para interrumpir su funcionamiento en caso de que suene una llamada, por ejemplo. Pero la app puede acceder también a datos del teléfono para identificarlo de manera individual y así evitar la piratería. Sin embargo, el acceso a esos datos permite también localizar el dispositivo.
-GPS: obligatorio para las aplicaciones basadas en la ubicación, podría permitir además enviar publicidad contextual.
-Bluetooth: este permiso suele ser inofensivo ya que el usuario es el que debe permitir la recepción de un archivo.
-Internet: la mayoría de las aplicaciones necesitan de conexión a la web para funcionar, pero si se combinan con otros permisos el resultado podría ser la descarga o envío de datos sin autorización del usuario.
-Cuentas: se emplea sobre todo para asociar una aplicación con otra y así cooperar entre ambas. No tiene acceso a contraseñas.
-Administrar cuentas: permite agregar o eliminar cuentas nuevas y sus contraseñas. Es necesaria para aplicaciones como Facebook, pero debería llamar la atención del usuario en caso de que un juego reclame ese acceso.
-Autenticador de cuentas: es necesario para acceder a las cuentas creadas en el dispositivo y sus contraseñas.
-Impedir que el teléfono entre en modo inactivo: es empleada por aplicaciones que permiten reproducir archivos multimedia, como videos.
-Ajustes de sincronización: es un permiso típico para conocer si el usuario tiene habilitada o no la sincronización de datos en segundo plano.
-Tomar fotografías o videos: necesario para aquellas apps que necesitan acceso a la cámara del dispositivo, como Instagram. Se debe estar atento a si una aplicación orientada a otro fin reclama ese permiso ya que podría tomar imágenes para luego distribuirlas sin permiso del usuario.
Los permisos y su uso malintencionado
Un informe de la empresa de seguridad TrendMicro resumió que la mayoría del malware en Android reclama como mínimo tres permisos inusuales para funcionar. "Este es un buen indicador de ilegitimidad cuando se instalan aplicaciones", indicó.
La empresa detalló cómo diversas funciones pueden ser empleadas con cibercriminales:
-Comunicación por red: las apps malignas piden acceso a internet para comunicarse con los centros de mando o bien descargar actualizaciones sin permiso.
-Servicios con costo: el primer troyano para Android manipuló el permiso de envío de mensajes de texto, así como los permisos Llamadas telefónicas y Almacenamiento. Así logró la autorización necesaria para enviar mensajes de texto a determinados números con recargo.
-Llamadas telefónicas: el malware utiliza este permiso con fines delictivos para robar registros de llamadas. El archivo de registro se guarda como.TXT y se envía a un centro de mando. Los registros de llamadas son uno de los objetivos preferidos de los ladrones de datos ya que proporcionan más información sobre los usuarios. Al otorgar el permiso Llamadas telefónicas a aplicaciones maliciosas, estas pueden registrar las conversaciones y robar mensajes de texto. Esto aumenta el riesgo que corren los que utilizan sus dispositivos para realizar transacciones bancarias ya que las credenciales que se facilitan por teléfono o a través de SMS pueden acabar en manos de ciberdelincuentes.
-Herramientas del sistema: una aplicación de juegos no necesita iniciarse automáticamente cada vez que enciende su teléfono, por lo que no es necesario que solicite permiso para hacerlo. De hecho, esto indicaría que probablemente la verdadera intención de dicha aplicación es ejecutar un servicio malicioso de forma silenciosa en segundo plano cada vez que encienda su teléfono.
-Almacenamiento: los ladrones de datos pueden manipular este permiso para almacenar una copia de la información que han robado o guardar un .TXT, un .INI o un tipo de archivo similar en su tarjeta SD antes de enviarlo a un centro de mando.