Las principales apps de viajes piden permisos exagerados que no necesitan
Los investigadores de Cybernews han probado 22 aplicaciones móviles muy populares vinculadas al ámbito del hospitality y la planificación de vacaciones para averiguar a qué datos acceden y cuáles recolectan.
Así, han descubierto que absolutamente todas las apps probadas tenían acceso a la ubicación precisa y exacta del usuario, incluyendo las coordenadas de latitud y longitud. Desafortunadamente, muchas de ellas decidieron mantener esta información en secreto.
Booking.com, Agoda, Momondo, Hilton Honors y otras seis aplicaciones no revelan la recolección de datos relacionados con la ubicación.
«Las apps de viaje solicitan frecuentemente acceso a las ubicaciones precisas de los usuarios para ofrecer mejores servicios. Sin embargo, otorgar este acceso facilitará a esas aplicaciones rastrear tus movimientos y aprender dónde vives y trabajas», explican desde Cybernews.
El análisis muestra que en particular las aplicaciones de Booking, MakeMyTrip y HotelTonight son las campeonas definitivas a la hora de recolectar datos.
Varias de estas herramientas pueden leer los mensajes SMS, acceder a la cámara del dispositivo, micrófono y hasta ‘echar un ojo’ a los archivos de los usuarios.
De las 22 hay 14 que tienen la capacidad de leer los archivos de los usuarios. Ciertas herramientas también pueden efectuar una llamada en su nombre.
Otras 14 disponen de acceso a la cámara del teléfono para tomar fotos, grabar vídeos y realizar videollamadas. Una aplicación podría potencialmente hacer esto sin el consentimiento del usuario, comprometiendo su privacidad y seguridad.
Yendo más allá, la investigación determina que algunas aplicaciones de viajes disponen de accesos bastante preocupantes que les permiten conocer el estado del teléfono, abriendo la puerta a identificar al usuario y al dispositivo. Es el caso de Booking.com, Expedia, Hilton Honors, Hotels.com, Hotwire, Trip.com y otras.
Este permiso posibilita la extracción de varios identificadores de usuario, como el Identificador Internacional de Equipo Móvil (IMEI), el Identificador Internacional de Suscriptor Móvil (IMSI), el número de teléfono, el número de serie del dispositivo y el identificador único de la tarjeta SIM. «Una preocupación significativa es que las aplicaciones de reserva de hoteles y alquileres no tienen una razón legítima para solicitar tales permisos a los usuarios, ya que no los necesitan para funcionar correctamente», destaca el citado medio.
“Una app bien diseñada debería solicitar solo los permisos que son esenciales para su funcionalidad, por lo que los usuarios siempre deben ejercer cautela al otorgar permisos a las aplicaciones y revisarlos cuidadosamente», afirma Mantas Kasiliauskis, investigador de seguridad de Cybernews.
«Las apps que piden permisos sensibles, particularmente aquellas relacionadas con los archivos y la configuración del sistema del dispositivo, son señales de alerta que sugieren una intención maliciosa o un diseño de código deficiente”, añade.
Apps que le ‘pegan un viaje’ a tus datos
La investigación reveló que MakeMyTrip, una popular aplicación india con más de 50 millones de descargas para reservar hoteles, vuelos y transporte, puede leer los mensajes SMS almacenados en el dispositivo. Esto incluye información sobre el remitente y el receptor y las fechas de los mensajes.
Por otro lado, una app de reserva de alojamiento propiedad de Airbnb – HotelTonight – solicita acceso de los usuarios para montar y desmontar sistemas de archivos en el dispositivo.
Un sistema de archivos es una parte integral de un sistema operativo (SO). Organiza archivos y directorios, rastrea sus ubicaciones y mantiene metadatos sobre los archivos, asegurando una recuperación y almacenamiento de datos eficiente. El permiso descubierto permite a la aplicación manipular y modificar archivos a nivel del sistema, lo que potencialmente conlleva serios riesgos de seguridad.
Asimismo, la app Hilton Honors tiene permiso para acceder a los componentes a nivel del sistema del dispositivo. A través de este una aplicación solicita al sistema que cierre cualquier diálogo del sistema abierto, incluyendo componentes críticos de la interfaz de usuario (UI) como la bandeja de notificaciones, la pantalla de aplicaciones recientes y el diálogo de encendido.
Aunque este permiso se utiliza principalmente por el sistema del dispositivo, un mal manejo del mismo podría resultar en que la aplicación cierre forzosamente los diálogos del sistema e interfiera con el funcionamiento regular de la UI del dispositivo.
Siguiendo con el listado, la aplicación Trip.com, con más de 10 millones de descargas, puede modificar la configuración del sistema del dispositivo. Esto le daría la potestad de cambiar el idioma, la orientación de la pantalla, la disposición del teclado y otras configuraciones del dispositivo. También podría cambiar configuraciones del sistema como WiFi, Bluetooth, sonido o pantalla.
Se ha descubierto que 14 apps de las 22 tenían los medios para leer y escribir en el almacenamiento externo. Este permiso es sensible, puesto que otorga la capacidad de acceder, escribir, modificar o eliminar datos en el almacenamiento externo, incluyendo una tarjeta SD y otros medios externos. El acceso al almacenamiento del dispositivo también puede comprometer archivos del usuario, como fotos, vídeos, documentos y otra información confidencial.
Los investigadores también han hallado tres apps de viaje (en concreto MakeMyTrip, Hilton Honors y Hopper) que pueden leer las listas de contactos. Aunque la primera avisa de ello, los desarrolladores de las otras dos no revelan la recolección de datos relacionados con contactos.
applicantes
Últimas entradas de applicantes (ver todo)
- WhatsApp estrena las listas - 1 noviembre, 2024
- Caza demonios en realidad aumentada con Devil´s Purge, ya disponible para iOS - 1 noviembre, 2024
- Instagram y Facebook son las apps que recopilan más datos de los usuarios, según un estudio - 31 octubre, 2024