Investigadores en seguridad de las aplicaciones localizaron un comportamiento extraño en software bastante popular disponible en Google Play: pese a que su objetivo no era recabar datos, información tan privada como números de teléfono, SSID y direcciones MAC de los dispositivos y hasta el portapapeles terminaba recolectada en servidores ajenos. Todo por un SDK que escondía sus intenciones.
En los teléfonos móviles guardamos muchos más datos privados de los que parece, incluso a pesar de que en un principio parezcan no serlo. Información relacionada con las redes WiFi a las que nos conectamos, IDs del dispositivo, conexiones a webs y muchos otros datos que, en gran volumen, proporcionan un enorme valor a los anunciantes. Usar aplicaciones implica ceder parte de esos datos; con el problema de que, en ocasiones, ni los propios desarrolladores lo saben.
Un SDK de publicidad robaba datos de forma oculta
Los desarrolladores disponen de diversas herramientas que les facilitan la tarea de crear aplicaciones. Por lo general, el software no se desarrolla de cero ya que existen librerías que se aprovechan para obtener desde una mejora en el diseño a entornos en 3D, por ejemplo. Dichas librerías se encuentran disponibles a modo de SDK o kits de desarrollo de software.
Lo habitual en las aplicaciones móviles es que los desarrolladores integren funciones como la publicidad a través de las librerías que las empresas proporcionan en sus SDKs. Análisis de uso, clicks, qué funciones de la aplicación se utilizan en mayor medida y anuncios que aparecen en consecuencia, ésta suele ser la mecánica de un SDK publicitario. Siempre que no esconda una actividad maliciosa.
Como descubrieron los investigadores de seguridad de AppCensus tras analizar bajo lupa las actividades de algunas aplicaciones muy populares en Google Play, dichas apps enviaban datos de usuario recolectados sin su consentimiento e, incluso, sin haber pedido previamente el permiso. Dichos datos guardaban relación con la MAC y SSID de los equipos, recopilaban números de teléfono, direcciones de email, coordenadas de GPS Y, lo más preocupante, las apps enviaban el contenido del portapapeles. Todo se recopilaba en servidores ajenos a las apps.
Tras la pormenorizada investigación llevada a cabo por AppCensus, las pistas desembocaron en un SDK publicitario muy poco conocido que aseguraba ofrecer una alta monetización de las aplicaciones. Tras integrar dicho SDK en el software, posteriormente publicado en Google Play, las librerías se encargaban de recopilar los datos sin que los usuarios, ni los desarrolladores de las apps, tuvieran constancia de ello.
AppCensus se comunicó con Google para descubrirle la secreta actividad de las aplicaciones y ésta eliminó las apps relacionadas con el SDK. Algunas son tan populares como Radar cámara speed (PRO) o WiFi Mouse (ambas con más de 10 millones de descargas). Dado que volvieron a Google Play, todas han eliminado el SDK malicioso de su código.
