Para evitar comportamientos maliciosos, las aplicaciones que se ejecutan en los teléfonos inteligentes Android piden educadamente permiso para hacer cosas como acceder a nuestra información personal, hacer un seguimiento de nuestra ubicación o transmitir datos a través de Internet. Pero una vez que consiguen la aprobación, estas aplicaciones pueden compartir los permisos con las bibliotecas de publicidad que utilizan para mostrar los anuncios, creando graves y potenciales vulnerabilidades de privacidad, según ha descubierto un grupo de investigadores.

Tras analizar 100.000 aplicaciones seleccionadas al azar de Google Play (el antiguo Android Market), un equipo de investigadores de la Universidad de Carolina del Norte (EE.UU.) encontró que 48.139 de las bibliotecas de anuncios utilizadas por estas aplicaciones hacían un seguimiento de la ubicación GPS del usuario, 18.575 seguían la identidad del teléfono (su número IMEI), 4.190 permitían a los anunciantes realizar un seguimiento del usuario a través del GPS, y 4.047 accedían al número de teléfono del dispositivo.

Existen docenas de 'bibliotecas de anuncios' como esta, generando la publicidad que aparece en pantalla con las aplicaciones asociadas. Al hacer clic en un anuncio, el fabricante de la aplicación gana una pequeña cantidad de dinero. Una de estas bibliotecas, llamada energysource, utiliza un método inseguro de carga de código a través de Internet, afirma Xuxian Jiang, profesor en Carolina del Norte y director del estudio, publicado como artículo y cuya presentación tendrá lugar durante una conferencia en Tucson el próximo mes. Aunque los investigadores no detectaron comportamiento malicioso por parte de la aplicación, sí señalaron que supone una amenaza para la seguridad, simplemente permitiendo que el código se descargue y sea ejecutado.

De las 100.000 aplicaciones, 297 contenían código de anuncios que permitió al teléfono ejecutar el código descargado de Internet, proporcionando un vía de entrada potencial de software malicioso en el dispositivo. "Si la aplicación tiene permiso para acceder a información personal, la biblioteca de anuncios también lo tiene para acceder a esos datos", indica Jiang.

La investigación de Carolina del Norte es solo la última evidencia de los enormes agujeros de seguridad y privacidad en los teléfonos inteligentes. En abril del año pasado, se descubrió que los iPhones y los dispositivos Android realizaban un seguimiento de las ubicaciones de los usuarios de forma automática. Más tarde, en diciembre, también se descubrió que estos y otros teléfonos inteligentes tenían instalado un software de diagnóstico que rastreaba una amplia gama de información de los usuarios. Recientemente, se descubrió que tanto los iPhones y los teléfonos Android comparten las libretas de direcciones de los usuarios y otra información con las aplicaciones. Los casos de software móvil malintencionado han ido en aumento.

Los nuevos hallazgos apuntan a un fallo en el modelo de negocio en el que se basan las aplicaciones, asegura Jiang. Los desarrolladores dependen de los ingresos procedentes de las bibliotecas de publicidad para poder ofrecer aplicaciones gratuitas, pero no tienen ningún control sobre lo que hacen dichas bibliotecas. "El modelo actual de incrustación de bibliotecas de anuncios en aplicaciones móviles para fines económicos plantea riesgos para la seguridad y la privacidad. En esencia, estas bibliotecas de anuncios tienen el mismo conjunto de permisos concedidos a las aplicaciones en las que se ejecutan. Además, algunas bibliotecas pueden abusar de ellas para otros fines no deseados".

Los fabricantes de dispositivos móviles deben buscar formas de aislamiento, indica Jiang, de modo que los anuncios se publiquen de forma independiente a las aplicaciones que los acogen, y requieran distintos permisos explícitos. "Resulta preocupante el modo en que las aplicaciones móviles están generando ingresos", añade.

Para colmo de males, otras investigaciones han encontrado recientemente que los anuncios asociados a las aplicaciones gratis de Android también consumen gran parte de la batería. Abhinav Pathak, científico informático de la Universidad de Purdue, junto a sus colegas de Microsoft Research, encontró que hasta tres cuartas partes de la energía usada por tales aplicaciones se dedica a la publicación de anuncios y a transmitir los datos del usuario a los anunciantes.