Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
▼
2019
(Total:
102
)
-
▼
septiembre
(Total:
14
)
- Warp, VPN gratuita de CloudFlare para dispositivos...
- Microsoft publica parches de emergencia para IE y ...
- Roban cuenta WhatsApp del político español Albert ...
- Permisos App's en Android
- Exponen datos usuarios plugin Lumin PDF de Google ...
- Entendiendo los contenedores con Docker
- Presentan el protocolo del futuro USB4
- Procesadores Intel Xeon afectados por vulnerabilid...
- Twitter suspende uso tweets vía SMS después del ha...
- Microsoft soluciona 80 vulnerabilidades incluyendo...
- Módulo para Metasploit del exploit público para vu...
- Descubren bases de datos expuestas con números de ...
- Disponibles distros Kali Linux 2019.3 y BlackArch ...
- Google recompensará encontrar bugs en Apps Android...
-
▼
septiembre
(Total:
14
)
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
353
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
243
)
android
(
242
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
115
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Permisos App's en Android
lunes, 23 de septiembre de 2019
|
Publicado por
el-brujo
|
Editar entrada
Ejemplo: Una aplicación para el móvil para escuchar música, gratuita, y sin anuncios, pero que al instalar pide aprobación de varios permisos, entre ellos, Almacenamiento / Memoria del teléfono, Mensajes de texto / SMS y Contactos. ¿Es correcto? ¿Debería conceder ése permiso?
Los permisos son el conjunto de acciones que le permitimos hacer a una aplicación con nuestro dispositivo y la información que contiene. Por ejemplo: leer nuestros mensajes SMS, conectarse a Internet, obtener nuestra posición geográfica, acceder a los datos que almacenamos o poder leer los datos de nuestros contactos, entre muchos otros. Instalar una aplicación es como darle nuestro móvil a alguien que no conocemos y decirle lo que puede o no puede hacer con él, lo que puede o no puede mirar. Si queremos que esa persona nos diga cómo llegar a casa, no necesitará acceder al nombre de nuestros contactos.
Las aplicaciones necesitan los permisos para funcionar.
Sin embargo, debido al número y variedad de aplicaciones que existen y surgen cada día, su instalación y funcionamiento en nuestros dispositivos se ha convertido en procesos a los que apenas prestamos atención. A menudo ni siquiera leemos los permisos que autorizamos. Siguiendo con la analogía, sería como darle nuestro móvil a alguien y dejar que haga lo que quiera con él mientras nos guíe a casa.
Las tiendas de aplicaciones oficiales como Google Play y Apple Store tienen controles para que no les cuelen apps maliciosas, pero estos no son infalibles, siempre se puede pasar alguna y, como el objetivo de los ciberdelincuentes es hacer dinero rápido, cuando los servicios bloquean alguna aplicación, rápidamente intentan subir otra al market con funcionalidades similares.
Las aplicaciones que se dedican a encontrar los móviles perdidos
suelen utilizar este acceso (Cerberus, Sophos, AirDroid…) o "Encontrar mi dispositivo de Google . Tiene varios
inconvenientes, sobre todo por la seguridad: cualquier aplicación
que sea un Administrador de dispositivos puede tomar el control
de nuestro Android. Como es lógico debemos dar el permiso solo a aquellas aplicaciones 100 % fiables.
Ajustes de tu Android y busca los de Seguridad.
Accede a la opción de «Aplicaciones Administradores de dispositivos«.
Verás la lista de aplicaciones que tienen este permiso. Desactiva la que quieras desinstalar.
Los permisos que suelen pedir las apps antes de instalarse son los siguientes:
Teléfono: con ello se autoriza leer el estado del teléfono, saber el número, conocer el estado de la red móvil, hacer llamadas, conocer el histórico de las mismas, añadir mensajes de voz, gestionar llamadas colgando o descolgando e incluso redireccionar a otro número.
Almacenamiento / Memoria: ya sea a un sistema de almacenamiento externo como la tarjeta SD o almacenamiento interno, donde se autoriza a que lo lea o incluso a que almacene allí archivos.
Mensajes de texto/ SMS: permite que la aplicación envíe mensajes de texto (SMS, MMS o incluso mensajes tipo Push WAP), lea los mensajes guardados y/o reciba nuevos.
Calendario: permite tanto leer, como editar y crear nuevos eventos en el calendario.
Cámara: se permite a una app tomar fotos y grabar vídeos por sí misma con el asalto a la intimidad que puede suponer esto, sobre todo si cae en malas manos.
Contactos: con este permiso, la aplicación solicita poder consultar la lista de contactos, editarla, añadir nuevos y también acceder a la lista de cuentas de servicios cuyo acceso tengamos activado a través del móvil.
Ubicación: se permite que la app sepa en todo momento donde nos encontramos, bien a través de GPS, bien a través de las antenas móviles o el wifi.
Micrófono: al permitir el acceso de la app al micrófono nos exponemos a que se graben conversaciones telefónicas o incluso actuar de micrófonos espía en cualquier otro momento.
Sensores corporales: estos permisos están ligados al uso de dispositivos como las pulseras de actividad. Con ello se facilitan datos sobre nuestra salud que normalmente pertenecen a nuestra vida privada.
A partir de Android 6.0 Marshmallow se ha mejorado el control sobre los permisos utilizados por las aplicaciones instaladas en el dispositivo.
Lo ideal es que el propietario explique muy detalladamente para que necesita cada uno de los permisos:
Pulsa sobre esa opción de Aplicaciones para poder entrar en la lista con todas las apps que tengas instaladas en tu smartphone.
Pulsar sobre la app cuyos permisos quieras administrar.
Aunque su situación puede variar dependiendo de la versión de Android y la capa de personalización de cada fabricante, en la información de la aplicación que hayas elegido tienes que buscar la sección Permisos y pulsar sobre ella
Tendrás la opción de desactivar cada uno de los permisos de forma individual, aunque ten en cuenta que deshabilitar determinados permisos puede hacer que la aplicación no funcione correctamente, y que cuando vayas a realizar alguna función te vuelva a pedir activar el permiso.
Varios investigadores descubrieron una notable cantidad de aplicaciones Android,
algunas muy populares, encontraron la manera de obtener datos personales
de los usuarios incluso a pesar de que les negaran los permisos. De las
más de 88 000 apps estudiadas 1325 violaban los permisos de Android.
En total, se analizaron 88.000 aplicaciones de Android, y las 1.325 que violaban los permisos de ubicación usaban dos técnicas para obtener datos personales. La primera era obtener datos personales a través de las redes WiFi para intentar establecer una ubicación aproximada, y la otra era directamente analizar los metadatos de las fotos almacenadas para conocer la ubicación. Otras apps intentaban adivinar la dirección MAC del router, entre las que se encontraban algunas de mandos que usan el puerto infrarrojos del móvil.
El estudio demostró que más que más de 1.300 apps robaban datos a los que no deberían tener acceso.
Las plataformas modernas de teléfonos inteligentes implementan modelos basados en permisos para proteger el acceso a datos confidenciales y recursos del sistema. Sin embargo, las aplicaciones pueden eludir el modelo de permiso y obtener acceso a datos protegidos sin el consentimiento del usuario mediante el uso de canales encubiertos y laterales.
Los canales laterales presentes en la implementación del sistema de permisos permiten a las aplicaciones acceder a datos protegidos y recursos del sistema sin permiso; mientras que los canales encubiertos permiten la comunicación entre dos aplicaciones en conflicto para que una aplicación pueda compartir sus datos protegidos con permisos con otra aplicación que carece de esos permisos. Ambos plantean amenazas a la privacidad del usuario.
En el trabajo, se hizo uso de una gran infraestructura que ejecuta cientos de miles de aplicaciones en un entorno instrumentado. El entorno de prueba incluye mecanismos para monitorear el comportamiento en tiempo de ejecución de las aplicaciones y el tráfico de red. Buscamos evidencia de canales secundarios y encubiertos que se utilizan en la práctica mediante la búsqueda de datos confidenciales que se envían a través de la red para los cuales la aplicación de envío no tenía permisos para acceder a ellos. Después se realizó ingeniería inversa de las aplicaciones y las bibliotecas de terceros responsables de este comportamiento para determinar cómo se produjo el acceso no autorizado. También utilizamos métodos de huellas digitales de software para medir la prevalencia estática de la técnica que descubrimos entre otras aplicaciones en nuestro corpus.
Usando este entorno y método de prueba, se descubre que varios canales secundarios y encubiertos en uso activo por cientos de aplicaciones populares y SDK de terceros para obtener acceso no autorizado a identificadores únicos, así como a datos de geolocalización.
Mientras se espera que el lanzamiento de Android 10 (Android Q) se dé a finales de este año, Google ya ha confirmado —a instancias de estos investigadores— que corregirán estos problemas con esta gran actualización: se protegerán los metadatos de las fotos y todas aquellas apps que hagan uso de redes WiFi también tendrán que preguntar al usuario si le dan permiso para acceder a datos sobre la localización del dispositivo.
Fuentes:
https://www.osi.es/es/actualidad/historias-reales/2019/04/17/por-que-piden-tantos-permisos-las-apps
¿Qué son los permisos?
Los permisos son el conjunto de acciones que le permitimos hacer a una aplicación con nuestro dispositivo y la información que contiene. Por ejemplo: leer nuestros mensajes SMS, conectarse a Internet, obtener nuestra posición geográfica, acceder a los datos que almacenamos o poder leer los datos de nuestros contactos, entre muchos otros. Instalar una aplicación es como darle nuestro móvil a alguien que no conocemos y decirle lo que puede o no puede hacer con él, lo que puede o no puede mirar. Si queremos que esa persona nos diga cómo llegar a casa, no necesitará acceder al nombre de nuestros contactos.
Las aplicaciones necesitan los permisos para funcionar.
El sitio Web Android Developerstambién ofrece la denominada lista Manifest.permission, que enumera los permisos que las aplicaciones básicamente necesitan para trabajar en un dispositivo basado en Android.
xmlns:android="http://schemas.android.com/apk/res/android" package="com.example.snazzyapp">
android:name="android.permission.INTERNET"/>
...> ...
Sin embargo, debido al número y variedad de aplicaciones que existen y surgen cada día, su instalación y funcionamiento en nuestros dispositivos se ha convertido en procesos a los que apenas prestamos atención. A menudo ni siquiera leemos los permisos que autorizamos. Siguiendo con la analogía, sería como darle nuestro móvil a alguien y dejar que haga lo que quiera con él mientras nos guíe a casa.
Las tiendas de aplicaciones oficiales como Google Play y Apple Store tienen controles para que no les cuelen apps maliciosas, pero estos no son infalibles, siempre se puede pasar alguna y, como el objetivo de los ciberdelincuentes es hacer dinero rápido, cuando los servicios bloquean alguna aplicación, rápidamente intentan subir otra al market con funcionalidades similares.
Aplicaciones que no se dejan desinstalar
El permiso está pensado para un tipo de apps muy específico: aquellas que permiten saber a distancia dónde se encuentra nuestro dispositivo para borrarlo en el caso de que lo hayamos perdido. Este sería un ejemplo.¿Qué tipo de permisos piden las apps y qué consecuencias puede tener darlos?
Generalmente, los permisos de las aplicaciones son para asegurar el correcto funcionamiento de ésta. Sin embargo, a veces estos permisos no son obligatorios y los desarrolladores buscan extraer información sobre el usuario para poder enviar publicidad personalizada. En el caso de una aplicación maliciosa, además, puede aprovecharlos para acceder y robar tu información personal almacenada en el dispositivo.Permisos que podemos gestionar:
- Almacenamiento
- Calendario
- Contactos
- Cámara
- Micrófono
- SMS
- Sensores corporales
- Teléfono
- Ubicación
Los permisos que suelen pedir las apps antes de instalarse son los siguientes:
Teléfono: con ello se autoriza leer el estado del teléfono, saber el número, conocer el estado de la red móvil, hacer llamadas, conocer el histórico de las mismas, añadir mensajes de voz, gestionar llamadas colgando o descolgando e incluso redireccionar a otro número.
Almacenamiento / Memoria: ya sea a un sistema de almacenamiento externo como la tarjeta SD o almacenamiento interno, donde se autoriza a que lo lea o incluso a que almacene allí archivos.
Mensajes de texto/ SMS: permite que la aplicación envíe mensajes de texto (SMS, MMS o incluso mensajes tipo Push WAP), lea los mensajes guardados y/o reciba nuevos.
Calendario: permite tanto leer, como editar y crear nuevos eventos en el calendario.
Cámara: se permite a una app tomar fotos y grabar vídeos por sí misma con el asalto a la intimidad que puede suponer esto, sobre todo si cae en malas manos.
Contactos: con este permiso, la aplicación solicita poder consultar la lista de contactos, editarla, añadir nuevos y también acceder a la lista de cuentas de servicios cuyo acceso tengamos activado a través del móvil.
Ubicación: se permite que la app sepa en todo momento donde nos encontramos, bien a través de GPS, bien a través de las antenas móviles o el wifi.
Micrófono: al permitir el acceso de la app al micrófono nos exponemos a que se graben conversaciones telefónicas o incluso actuar de micrófonos espía en cualquier otro momento.
Sensores corporales: estos permisos están ligados al uso de dispositivos como las pulseras de actividad. Con ello se facilitan datos sobre nuestra salud que normalmente pertenecen a nuestra vida privada.
A partir de Android 6.0 Marshmallow se ha mejorado el control sobre los permisos utilizados por las aplicaciones instaladas en el dispositivo.
Lo ideal es que el propietario explique muy detalladamente para que necesita cada uno de los permisos:
- https://help.twitter.com/es/using-twitter/android-app-permissions
- https://help.cabify.com/hc/es/articles/115001049649--Para-qu%C3%A9-necesitan-todos-esos-permisos-en-la-app-Android-
Gestionar los permisos de aplicaciones en Android
- Ir a Configuración (o Ajustes)
- En el listado, cliquear a Aplicaciones
- Dentro del listado deAplicaciones, a la parte superior derecha tendremos que cliquear en los tres puntos del menú, a Permisos de la aplicación
- Permisos de almacenamiento, de calendario, de contactos, cámara, micrófono, registros de llamadas, SMS, sensores corporales, teléfono, ubicación y permisos adicionales.
Cómo administrar los permisos de apps instaladas (de manera individual)
Ajustes. Lo puedes hacer desde la aplicación Ajustes de tu cajón de aplicaciones y bajando el panel de notificaciones y pulsando sobre el icono de la rueda dentada.Pulsa sobre esa opción de Aplicaciones para poder entrar en la lista con todas las apps que tengas instaladas en tu smartphone.
Pulsar sobre la app cuyos permisos quieras administrar.
Aunque su situación puede variar dependiendo de la versión de Android y la capa de personalización de cada fabricante, en la información de la aplicación que hayas elegido tienes que buscar la sección Permisos y pulsar sobre ella
Tendrás la opción de desactivar cada uno de los permisos de forma individual, aunque ten en cuenta que deshabilitar determinados permisos puede hacer que la aplicación no funcione correctamente, y que cuando vayas a realizar alguna función te vuelva a pedir activar el permiso.
if (ContextCompat.checkSelfPermission(thisActivity, Manifest.permission.WRITE_CALENDAR) != PackageManager.PERMISSION_GRANTED) { // Permission is not granted }
Consejos y recomendaciones
- Fuentes fiables. Descarga solo aplicaciones de fuentes fiables, y si es posible, solo de tiendas oficiales como “Google Play” o “Apple Store”.
- Comprobar quién es el desarrollador de la aplicación. Si Pokemon Go es de Niantic, no debemos descargar la aplicación de otro desarrollador. Gran Hermano, es de Mediaset España, si descargamos otra distinta, podemos tener problemas.
- Fijarse en el número de descargas de la app. Si descargamos una aplicación de seguimiento masivo, no puede tener 100 descargas.
- Permisos. Si descargamos una aplicación sobre cómo perder barriga, no tiene sentido darle permisos sobre los SMS o llamadas.
- No fiarse de títulos espectaculares como: “Mira quien te rechazó en Facebook” o “Espía conversaciones de Whatsapp de otros usuarios”.
- Sólo descargar aplicaciones de fuentes fiables, y si es posible solo de tiendas oficiales.
- No está de más bloquear los servicios “Premium” o de “tarificación especial” en nuestra línea de móvil. Eso se lo debemos solicitar a nuestro operador de telefonía, he hecho ya hay alguno que no permite ese tipo de servicios.
El problema de los permisos "indirectos"
En total, se analizaron 88.000 aplicaciones de Android, y las 1.325 que violaban los permisos de ubicación usaban dos técnicas para obtener datos personales. La primera era obtener datos personales a través de las redes WiFi para intentar establecer una ubicación aproximada, y la otra era directamente analizar los metadatos de las fotos almacenadas para conocer la ubicación. Otras apps intentaban adivinar la dirección MAC del router, entre las que se encontraban algunas de mandos que usan el puerto infrarrojos del móvil.
El estudio demostró que más que más de 1.300 apps robaban datos a los que no deberían tener acceso.
- https://www.usenix.org/system/files/sec19-reardon.pdf
- https://www.ftc.gov/system/files/documents/public_events/1415032/privacycon2019_serge_egelman.pdf
Las plataformas modernas de teléfonos inteligentes implementan modelos basados en permisos para proteger el acceso a datos confidenciales y recursos del sistema. Sin embargo, las aplicaciones pueden eludir el modelo de permiso y obtener acceso a datos protegidos sin el consentimiento del usuario mediante el uso de canales encubiertos y laterales.
Los canales laterales presentes en la implementación del sistema de permisos permiten a las aplicaciones acceder a datos protegidos y recursos del sistema sin permiso; mientras que los canales encubiertos permiten la comunicación entre dos aplicaciones en conflicto para que una aplicación pueda compartir sus datos protegidos con permisos con otra aplicación que carece de esos permisos. Ambos plantean amenazas a la privacidad del usuario.
En el trabajo, se hizo uso de una gran infraestructura que ejecuta cientos de miles de aplicaciones en un entorno instrumentado. El entorno de prueba incluye mecanismos para monitorear el comportamiento en tiempo de ejecución de las aplicaciones y el tráfico de red. Buscamos evidencia de canales secundarios y encubiertos que se utilizan en la práctica mediante la búsqueda de datos confidenciales que se envían a través de la red para los cuales la aplicación de envío no tenía permisos para acceder a ellos. Después se realizó ingeniería inversa de las aplicaciones y las bibliotecas de terceros responsables de este comportamiento para determinar cómo se produjo el acceso no autorizado. También utilizamos métodos de huellas digitales de software para medir la prevalencia estática de la técnica que descubrimos entre otras aplicaciones en nuestro corpus.
Usando este entorno y método de prueba, se descubre que varios canales secundarios y encubiertos en uso activo por cientos de aplicaciones populares y SDK de terceros para obtener acceso no autorizado a identificadores únicos, así como a datos de geolocalización.
- Se supone que Google corregirá estos problemas en la próxima gran actualización de Android Q
Mientras se espera que el lanzamiento de Android 10 (Android Q) se dé a finales de este año, Google ya ha confirmado —a instancias de estos investigadores— que corregirán estos problemas con esta gran actualización: se protegerán los metadatos de las fotos y todas aquellas apps que hagan uso de redes WiFi también tendrán que preguntar al usuario si le dan permiso para acceder a datos sobre la localización del dispositivo.
Fuentes:
https://www.osi.es/es/actualidad/historias-reales/2019/04/17/por-que-piden-tantos-permisos-las-apps
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.