Las aplicaciones en Android han podido inferir la presencia de aplicaciones específicas, o incluso recopilar la lista completa de aplicaciones instaladas en el dispositivo. Además, una aplicación también puede configurarse para recibir una notificación cuando se instala una nueva aplicación.
Además de todas las preocupaciones habituales sobre el uso indebido de dicha captura de datos, una aplicación potencialmente dañina puede abusar de la información para tomar huellas digitales de otras aplicaciones instaladas, verificar la presencia de antivirus , fraude de afiliados e incluso anuncios dirigidos.
En 2014, Twitter comenzó a rastrear la lista de aplicaciones instaladas en los dispositivos de los usuarios como parte de su iniciativa de "gráficos de aplicaciones" con el objetivo de ofrecer contenido personalizado. La empresa de billeteras digitales MobiKwik también fue atrapada recopilando información sobre aplicaciones instaladas a raíz de una violación de datos que salió a la luz a principios de esta semana.
De hecho, un estudio realizado por un grupo de investigadores suizos en 2019 encontró que "es más probable que las aplicaciones gratuitas busquen dicha información y que las bibliotecas de terceros (libs) son los principales solicitantes de la lista de aplicaciones instaladas".
"Como los usuarios tienen un promedio de 80 aplicaciones instaladas en sus teléfonos, la mayoría de ellas gratuitas, existe una alta probabilidad de que terceros que no son de confianza obtengan la lista de aplicaciones instaladas", agregaron los investigadores.
Otro estudio académico publicado en marzo de 2020 también encontró que 4.214 aplicaciones de Google Play acumularon sigilosamente una lista de todas las demás aplicaciones instaladas, lo que permitió a los desarrolladores y anunciantes crear perfiles detallados de los usuarios. Las aplicaciones que lo hacen generalmente logran esto haciendo uso de lo que se llama métodos de aplicación instalados , getInstalledPackages () y getInstalledApplications (), y los investigadores descubrieron que las aplicaciones en juegos, cómics, personalización, automóviles y vehículos, y categorías familiares encabezaban la lista de aplicaciones. recopilar esta información.
El año pasado, Google intentó frenar este comportamiento impidiendo que las aplicaciones accedan a esta información de forma predeterminada a partir de Android 11, al tiempo que introdujo un nuevo permiso llamado "QUERY_ALL_PACKAGES" para las aplicaciones que necesitan acceso a la lista de otras aplicaciones instaladas.
"Este comportamiento de filtrado ayuda a minimizar la cantidad de información potencialmente sensible que su aplicación no necesita para cumplir con sus casos de uso, pero a la que su aplicación aún puede acceder", dijo Google.
Ahora, en un intento por intensificar sus esfuerzos para restringir el uso indebido del permiso QUERY_ALL_PACKAGES, Google ha dicho que trata el inventario de aplicaciones instaladas como datos personales y confidenciales del usuario.
A partir del 5 de mayo de 2021, el permiso se limitará solo a las aplicaciones que se utilizan para la búsqueda de dispositivos, así como a las aplicaciones antivirus, los administradores de archivos y los navegadores. Otras aplicaciones, como una aplicación bancaria dedicada o una aplicación de billetera digital, pueden calificar para este permiso únicamente con fines de seguridad.
Google también dijo que no permitiría que las aplicaciones soliciten el permiso QUERY_ALL_PACKAGES cuando "los datos se adquieren con el propósito de venderlos" o la tarea requerida se puede lograr mediante un método alternativo.
"Las aplicaciones que no cumplan con los requisitos de la política o que no envíen un formulario de declaración pueden eliminarse de Google Play", señaló la empresa . "Si cambia la forma en que su aplicación usa estos permisos restringidos, debe revisar su declaración con información actualizada y precisa. Los usos engañosos y no declarados de estos permisos pueden resultar en la suspensión de su aplicación y / o la cancelación de su cuenta de desarrollador".
Fuente: https://thehackernews.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila
0 Comentarios