¿Cuántas veces, al instalar una aplicación en nuestra tablet o smartphone hemos visto un aviso sobre los permisos que requiere dicha aplicación?. ¿Cuántas veces nos hemos preocupado por comprobar si realmente esta aplicación necesita dichos permisos?.
Es ya clásico el ejemplo de una aplicación de Linterna la cual pide permiso para acceder a nuestra ubicación y nuestros contactos. ¿Debo dar acceso a determinadas aplicaciones a mis contactos, a mis SMS o al micrófono?. ¿Somos conscientes de las consecuencias que puede tener para nuestra privacidad y nuestra seguridad otorgar estos permisos?.
Debemos tener en cuenta que con cada permiso que concedemos a cada aplicación estamos proporcionando información personal sobre nosotros mismos, y debemos saber los riesgos que tales permisos implican.
Estos días INCIBE (Instituto Nacional de Ciberseguridad) ha publicado una infografía muy interesante acerca de los permisos y los riesgos que implica cada uno de ellos. Basándome en esta valiosa información, quiero presentaros un resumen de los permisos que considero más sensibles y sus posibles repercusiones más graves.
Suplantación de Personalidad.
Este tipo de ataque puede lograrse si la aplicación maliciosa recoge datos de nuestro Calendario, Contactos, Cámara, Micrófono, Tarjeta de Memoria o mensajes SMS.
A través de cualquiera de estos permisos un delincuente podría acceder a información que le permitiese suplantarnos.
Ataques de Ingeniería Social y Phishing.
En varias ocasiones hemos comentado en este blog acerca de los ataques de Phishing (literalmente “pescando”). Se trata de “lanzar la caña” (una llamada telefónica falsa, un correo falso) y luego, esperar a ver si pican o no pican el anzuelo.
Calendario, Contactos, Acceso a la tarjeta, SMS, historial de llamadas y Ubicación. Con información recogida desde cualquiera de estas fuentes, un atacante estaría en disposición de hacernos llegar información que nos resulte familiar (recogida de nuestro propio móvil), lanzar el anzuelo, (solicitando información complementaria)…. Y si no estamos atentos, podríamos “picar” en este anzuelo.
Extorsión y Sextorsión.
Prácticas tristemente conocidas, especialmente entre adolescentes y Redes Sociales. Unas conversaciones “subidas de tono” junto con unas fotos/vídeos “inapropiadas” y podríamos ser víctimas de dichas prácticas.
Los permisos más peligrosos para estas prácticas serían Micrófono / Cámara y Acceso a la Memoria.
Suscripción a Servicios Premium no deseados.
De repente, en nuestra factura mensual, aparecen cargos de “Servicio de Chat PREMIUM” u otros similares, que no hemos solicitado.
Pueden llegar a suscribirnos a dichos servicios (sin nuestro conocimiento) a través de los permisos SMS y Llamadas de Teléfono.
Robo de Datos Personales y/o empresariales.
Puede realizarse este tipo de fraude a través de permisos innecesarios a Calendario, Memoria, SMS y Llamadas de teléfono.
Aunque estos no son todos los ataques que podemos sufrir por culpa de unos permisos mal configurados, si que pueden ser los más habituales. Podría haber incluido información del estado de la salud a través de sensores del cuerpo (smartwatch, los cuales leen nuestras pulsaciones cardíacas), Spam y Publicidad no deseada, envío de Malware… etc.
Una buena solución.
Es cierto que no todas las aplicaciones son “malvadas” y que aun así, algunas de ellas piden “excesivos” permisos. Ante la dura elección de “Instalar o no Instalar”, cabe una opción intermedia: Instalar desactivando “algunos permisos”.
Aunque existen aplicaciones que pueden ayudarnos a realizar esta tarea (principalmente antivirus y similares), yo prefiero la forma “tradicional” de realizar esta tarea: a mano.
Desde el Panel de Ajustes, vamos a Aplicaciones y en la lista de aplicaciones, seleccionamos la que queremos “ajustar” sus permisos.
Una vez en la pantalla de la aplicación, se puede ver como existe una sección de Permisos. Seleccionando esta opción llegamos a una nueva pantalla donde nos presenta una lista con todos los permisos que tiene la aplicación y cuales se encuentran activos.
Como veis, en esta aplicación he restringido los permisos que vienen activos por defecto, permitiendo su acceso únicamente al almacenamiento.
Es una forma sencilla de eliminar permisos de aplicaciones que, por el motivo que sea, nos interesa tener en nuestros dispositivos.
Un saludo.
Raúl Ibilcieta.
Consultor de CiberSeguridad.