Hace un buen tiempo que estaba queriendo retomar el blog con artículos referentes a seguridad de la información, sobre todo con algunos sucesos de suplantación de identidad ocurridos la semana pasada (Mal llamado "hackeos" por la prensa) pero ese tema prefiero dejarlo para otro post debido a algo que surgió el día de ayer.
Hace varios meses la telefónica Tigo lanzó una app de consulta y carga de saldo (Paquetes de sms, datos, etc...) llamada Tigo Shop la cual aparte ofrece beneficios por instalarla. Como muchos usuarios tampoco me fijé en los permisos que requería la app (Craso error), ya sea por desatento o por la confianza que uno suele tener tenía a una empresa conocida, y la instalé.
Recientemente no se si por curiosidad o por costumbre revisé los permisos que pide Tigo Shop y encontré que pide mucho más de lo que realmente necesita para funcionar correctamente (Obs: Usé la app varios meses antes de percatarme de esto).
Básicamente la app puede acceder a tu ubicación geográfica, ver tus contactos, enviar y leer SMS, modificar/ver tus fotos y archivos, ver cuentas asociadas a tu teléfono (Facebook, Twitter, Google, etc), ver que aplicaciones se están ejecutando entre otras cosas más que son totalmente innecesarias para una app que sirve de consulta y compra de saldo, y que no tiene funcionalidades relacionadas a ubicación GPS, directorio de contactos ni a fotos y archivos (Lo único que realmente necesitaría es conectarse a internet para interactuar con la telefónica).
Este tipo de práctica es propia de los malwares.
A continuación podemos ver la captura de pantalla de la tienda Google Play donde muestra los permisos que solicita esta app, marqué en rojo los que considero que están demás y presentan un abuso a la privacidad de los usuarios (Más abajo desgloso uno a uno).
Si estás un poco mareado al respecto a los permisos en Android básicamente son una protección para que apps malintencionadas no accedan a tus recursos/información, algunos son necesarios de acuerdo a la naturaleza de la app. Citando[1]:
Android define un esquema de permisos para proteger ciertos recursos y características especiales. Toda aplicación que acceda a estos recursos está obligada a declarar su intención de usarlos. En caso de que una aplicación intente acceder a un recurso del que no ha solicitado permiso, se generará una excepción de permiso y la aplicación será interrumpida inmediatamente.
Si querés saber más sobre los permisos de Android podes leer "¿Cómo funcionan los permisos y seguridad de los datos en Android?"
Conversando/denunciando con Tigo
Volviendo al caso de Tigo Shop una vez que vi esto decidí hacer público y preguntar a Tigo (en una serie de tweets) el porqué de estos permisos que nada tienen que ver con las funcionalidades de la app, aquí dejo el primer tweet:
La app de Tigo Shop puede acceder atu geolocalizacion, a tus contactos, a tus fotos y a las aplicaciones instaladas🚫 pic.twitter.com/7g2eIQMGVZ
— Marce Elizeche Landó (@melizeche) July 27, 2015
Ingresá aca para ver el resto de la Conversación/Timeline con @TigoParaguay de una forma ordenada.
Como se ve en el Storify primero Tigo se confunde de app y dice que la ubicación GPS es necesaria para los usuarios de distintas operadoras (?), luego que los permisos de ubicación y de llamadas son para registrar inconvenientes en la app y en la red celular (1, 2) y referente a que la app tenga permisos de leer todos tus contactos guardados Tigo dice que es para poder "enviar como recomendación a tus contactos" (3) siendo que la app no tiene esa función en ningún lugar visible. De la explicación el único que considero válido es el permiso de ID de dispositivo que Tigo justifica que es para iniciar sesión automáticamente (4) cosa que es totalmente factible.
Luego Tigo admite que no necesita los permisos de SMS ni de acceso a Fotos y Archivos, y podemos rescatar la "promesa" de parte de ellos de solicitar que se eliminen estos dos permisos(SMS y archivos), un avance positivo pero no suficiente.
Reitero que Ubicación, Identidad y Contactos son totalmente innecesarios y me responde que es para localizar la zona si hay intermitencias de señal(1, 2)(?).
Para más como manifestaron usuarios que compraron su teléfono de Tigo, la app Tigo Shop no se puede desinstalar (solo en los casos que el telefono haya venido con el firmware personalizado de Tigo, sino si se puede desinstalar)
Configuración-> aplicaciones-> buscar Tigo Shop y desactivar es lo que nos queda @TigoParaguay @melizeche pic.twitter.com/A5pw31SNBp
— Felipe Goroso S. (@FelipeGoroso) July 27, 2015
Es decir, Tigo Shop puede acceder a tus fotos, contactos, ubicación, aplicaciones que estás ejecutando, cuentas, SMS y además en algunos casos no se puede desinstalar?
Hay una palabra para este tipo de software:
"MALWARE" y si queremos ser específicos entraría en la categoría de Spyware.
Pero en el hipotético caso que Tigo esté recolectando esta información ¿Para que puede servirle a una telefónica tu ubicación, quienes son tus contactos, que cuentas de redes usas o que aplicaciones tenés instaladas?
La respuesta: Data Mining, para "venderte mejor".
Conclusión
Esta no es una aplicación de testeo de calidad de señal, no tiene sentido a que acceda a tu ubicación, no sabemos en que momento manda la ubicación, no sabemos para que pide permiso para acceder a tus fotos y archivos, no sabemos para que necesitan revisar tus contactos ni tampoco por que necesitan leer tus SMS o que cuentas de servicios tenemos asociadas en el teléfono.
Tendríamos que confiar ciegamente en Tigo, que ellos solo usan estos datos (ubicacion, cuentas conocidas, contactos, fotos) para "corrección de errores" del funcionamiento de la app y de la red y, si así lo hiciera, como requisito mínimo debería poner algún disclaimer diciendo para que exactamente utilizan la información recolectada (a escondidas del usuario actualmente). Si necesitan recolectar información sensible lo mínimo que se tienen que hacer es solicitar el consentimiento del usuario como lo hacen otros programas (Ejemplo de Firefox).
Las empresas tienen que empezar a tomar en serio la privacidad e intimidad de los usuarios, hay datos personales o sensibles que no se debe almacenar si no hay una justificación real, uno nunca sabe en manos de quien puede terminar esta información.
Si Tigo no está recolectando toda esta información debería eliminar todos estos permisos innecesarios de sus apps lo antes posible y aclarar que fue lo que sucedió, sino al menos pedir consentimiento y que el usuario sea quien decida si compartir o no estos datos con terceros.
Anexo: Desglosando los permisos de Tigo Shop
- Dispositivo e historial de aplicaciones
- recuperar aplicaciones en ejecución
Totalmente innecesario que Tigo sepa que aplicaciones estás ejecutando, es una violación a la privacidad.
- Identidad
- buscar cuentas en el dispositivo
Según Tigo es para identificar la cuenta de Google y mandar notificaciones push a la cuenta, tiene sentido este permiso solo que en los meses que usé la app nunca recibí una sola notificación push
- Contactos
- leer tus contactos
Totalmente abusivo, no existe justificación ya que la app no tiene funciones visibles de interactuar con el directorio de contactos, violación a la privacidad importante.
- Ubicación
- ubicación precisa (según el GPS y la red)
Totalmente innecesario para la app, si utilizan como "testeo de calidad de red" están recolectando esta información sin consentimiento del usuario.
- SMS
- recibir mensajes de texto (SMS)
- leer tus mensajes de texto (SMS o MMS)
- Enviar mensajes SMS
Innecesario, ni siquiera utilizan para la Autenticación de 2 pasos(2FA), invasión a la privacidad que puedan leer tus SMS o mandarlos desde tu número.
- Fotos/Medios/Archivos
- modificar o eliminar el contenido del almacenamiento USB
- Leer el contenido del dispositivo USB
Abusivo, no hay justificación para esto, además de que pueda acceder a fotos y videos, en teoría podría recolectar datos de otras aplicaciones almacenados como por ejemplo el backup de base de datos de WhatsApp (Conversaciones)
- Información de la conexión Wi-Fi
- ver conexiones Wi-Fi
OK, necesario.
- ID del dispositivo e información de llamadas
- leer la identidad y el estado del dispositivo
Justificable, pero permitiría almacenar el número, IMEI, IMSI e inclusive el número de télefono con el que se esté teniendo una llamada activa.
- Otros
- Recibir datos desde Internet
- ver conexiones de red
- acceso completo a la red
OK, totalmente necesarios.
- Impedir que el dispositivo entre en modo de suspensión
No hay riesgo de privacidad, pero quizas innecesario.
Obviamente con todo lo expuesto recomiendo la desinstalación de esta app, al menos hasta que solucionen estos problemas.
La idea de este post (y de los siguientes relativos a seguridad) no es resaltar los errores cometidos sino concientizar sobre temas básicos de seguridad, solo informándose uno puede llegar a protegerse.