Hay un permiso tan peligroso que puede leer lo más preciado del teléfono: su identidad y la ID del dispositivo. ¿Por qué tantas aplicaciones lo piden?
Los permisos son un punto controvertido en Android: con ellos los usuarios tenemos más control de nuestros dispositivos ya que podemos limitar hasta dónde acceden las aplicaciones. Saber qué hacen y cómo modificarlos es imprescindible, pero no siempre funcionan como pensamos.
De entre todos los más comunes y, a la vez, más peligrosos está el de “consultar la identidad y el estado del teléfono”. Con él una aplicación puede saber qué número de teléfono está en una llamada, puede conocer la ID de nuestro dispositivo e, incluso, nuestro propio número. Son datos muy preciados por las empresas y también por quienes desarrollan malware para nuestro sistema; de ahí que sorprenda ver que muchos juegos o aplicaciones de música piden acceso a ellos. ¿Por qué?
El permiso READ_PHONE_STATE es el culpable
Con este permiso los desarrolladores tienen acceso a los datos vitales que hemos dicho. También permite interceptar las llamadas y, una función menos conocida, sirve como identificador de que hay una llamada en curso. Gracias a esta detección de llamadas las aplicaciones y los juegos pueden detener su ejecución para que el audio no entorpezca el sonido de la llamada.
READ_PHONE_STATE es un permiso controvertido por la gran cantidad de información a la que tiene acceso una app con él. Incluso aunque se nos asegure que la aplicación no recaba ningún tipo de dato privado: el acceso lo tiene. Y es bastante común verlo en todo tipo de juegos o aplicaciones de audio. Incluso Spotify pide “consultar la identidad y estado del teléfono”.
Cómo quitar permisos a las aplicaciones para hacer tu móvil más seguro
La administración manual de permisos llegó oficialmente con Android Marshmallow: puedes elegir a qué acceden tus aplicaciones, incluso tras instalarlas.
La administración manual de permisos llegó oficialmente con Android Marshmallow: puedes elegir a qué acceden tus aplicaciones, incluso tras instalarlas.
Sorprende que un permiso tan polémico ofrezca un uso que, al menos sobre el papel, resultaría sencillo de conceder de manera concreta. ¿Que la aplicación se tiene que detener para que el sonido no se superponga al de la llamada? Pues que haya una forma de capturar ese evento concreto para que la app lo reciba sin necesidad de tener la puerta abierta a nuestra privacidad. Bien, el caso es que eso existe.
Audio Manager, control total sobre los cambios de sonido
Sigamos con la premisa de que las aplicaciones piden acceder a la ID y teléfono porque necesitan saber que hay una llamada para así silenciar su sonido. El resultado es el que se espera, pero con una pérdida enorme de seguridad. Y, como cuenta Joanna Smith en su Medium, hay una forma de conseguir este comportamiento con las herramientas nativas de Android. Y sin permisos extraños.
Todo lo que debes saber sobre los permisos de Android
El sistema de permisos ha cambiado a partir de Marshmallow: te explicamos todo lo nuevo que supone el sistema de permisos de Android 6.0.
El sistema de permisos ha cambiado a partir de Marshmallow: te explicamos todo lo nuevo que supone el sistema de permisos de Android 6.0.
A partir de Android 6 Marshmallow Google introdujo el evento de estado del teléfono dentro de los estados de audio. De esta manera la aplicación puede capturar los eventos de inicio de llamada (el audio de la app se detiene para dejar paso al sonido del interlocutor) y también cuando acaba (el sistema lanza otro evento que la aplicación puede capturar para reanudarse).
Si bien es cierto que con el permiso que autoriza a leer el estado del teléfono la aplicación es compatible con versiones de Android por debajo de Android 6, esto no es excusa para no utilizar Audio Manager. O, al menos, que no lo pida por defecto y la aplicación discrimine por versión instalada.
Muchas aplicaciones se aprovechan del permiso para sobrepasarse
Como hemos visto, pedir permiso para “consultar la identidad y estado del teléfono” no tiene por qué ser sospechoso, pero también es cierto que muchas aplicaciones y juegos se aprovechan de la credibilidad para capturar los datos motu proprio. Por más que haya excepciones y que no siempre sea sinónimo de peligro, hay que tener mucho cuidado cada vez que el software que instalemos pida el citado permiso.
Como medida de precaución la mayor parte de las veces puedes desactivar el permiso “consultar la identidad y estado del teléfono”desde los “Ajustes/Aplicaciones” de tu Android. Por lo general deberían de funcionar correctamente. Aunque eso sí: luego el audio no se reanudará automáticamente cuando finalice la llamada.
La entrada ¿Es tan peligroso el permiso de “consultar la identidad y estado del teléfono”? aparece primero en El Androide Libre.
Continúar leyendo...