Crédito: CC0 Public Domain

Algunas aplicaciones populares en su teléfono pueden tomar secretamente capturas de pantalla de su actividad y enviarlas a terceros, según un nuevo estudio realizado por un equipo de investigadores de Northeastern.

Los investigadores dijeron que esto es particularmente inquietante porque estas capturas de pantalla y videos de su actividad en la pantalla podrían incluir nombres de usuario, contraseñas, y otro personal importante .

“Descubrimos que miles de aplicaciones populares tienen la capacidad de grabar su pantalla y todo lo que escriba”, dijo David Choffnes, uno de los dos profesores de informática que supervisó el estudio. “Eso incluye su nombre de usuario y contraseña, porque puede registrar los caracteres que escribe antes de que se conviertan en esos pequeños puntos negros”.

El estudio, que fue realizado en gran parte por dos estudiantes, la estudiante de doctorado Elleen Pan y el doctorando Jingjing Ren, fue diseñado para investigar una leyenda urbana persistente de que los teléfonos graban secretamente nuestras conversaciones y luego venden esa información a las empresas para que te den publicidad específica .

Si bien los investigadores no encontraron evidencia de conversaciones grabadas, descubrieron actividad que podría ser aún más peligrosa.

“Sabíamos que estábamos buscando una aguja en un pajar”, dijo Choffnes, “y nos sorprendió encontrar varias agujas”.

Lo que encontraron es que algunas compañías estaban enviando capturas de pantalla y videos de actividades de teléfonos de usuarios a terceros. Aunque estos las infracciones parecían ser benignas, enfatizaban cuán fácilmente se podía explotar la ventana de privacidad de un teléfono con fines de lucro.

“Esta apertura se usará casi con toda seguridad para propósitos maliciosos”, dijo Christo Wilson, otro profesor de informática en el equipo de investigación. “Es fácil de instalar y recopilar esta información. Y lo más inquietante es que esto ocurre sin notificación ni permiso por parte de los usuarios.

“En el caso que detectamos, la información enviada a un tercero era de códigos postales, pero con la misma facilidad podría haber números de tarjetas de crédito”, agregó.

El estudio

Los investigadores analizaron más de 17,000 de las aplicaciones más populares en el sistema operativo Android, utilizando un programa de prueba automatizado escrito por los estudiantes. Aunque el estudio se llevó a cabo en teléfonos con Android, tanto Wilson como Choffnes dijeron que no hay razón para creer que otros sistemas operativos telefónicos serían menos vulnerables.

Pan comenzó el proyecto como una cooperativa de investigación en el otoño de 2017 y continuó trabajando en él hasta que se graduó en mayo. Ella presentará el documento en Barcelona a finales de este mes en la Conferencia del Simposio de Tecnología de Mejora de la Privacidad.

“Al entrar en este proyecto, no pensé mucho sobre la privacidad del teléfono y tampoco lo hicieron mis amigos”, dijo Pan, quien es el primer autor del artículo. “Esto definitivamente ha despertado mi interés en la investigación, y consideraré regresar a la escuela de postgrado”.

Pero por el momento, Pan se está preparando para la conferencia de Barcelona y comenzará un trabajo en agosto como ingeniero de software para Square, una compañía de pagos móviles.

Mientras realizaba la investigación, Wilson dijo que el equipo estaba bastante sorprendido cuando llegaron los resultados.

“No hubo fugas de audio en absoluto, ni una sola aplicación activó el micrófono”, dijo. “Luego comenzamos a ver cosas que no esperábamos. Las aplicaciones automáticamente tomaban capturas de pantalla de sí mismas y las enviaban a terceros”.

En total, 9,000 de las 17,000 aplicaciones tenían el potencial de tomar capturas de pantalla.

“En un caso, la aplicación tomó video de la actividad de la pantalla y envió esa información a un tercero”, dijo Wilson.

Esa aplicación fue GoPuff, un servicio de entrega de comida rápida, que envió las capturas de pantalla a Appsee, una firma de análisis de datos para dispositivos móviles. Todo esto se hizo sin la conciencia de los usuarios de la aplicación.

Tanto Wilson como Choffnes enfatizaron que ninguna de las compañías parecía tener ninguna intención nefasta. Dijeron que los desarrolladores web comúnmente usan este tipo de información para depurar sus aplicaciones y mejorar la experiencia del usuario.

Pero eso no significa que una empresa maliciosa no pueda usar esta ventana de privacidad para robar información personal con fines de lucro.

“Eso tiene el potencial de ser mucho peor que tener la cámara tomando fotos del techo o el micrófono grabando conversaciones sin sentido”, dijo Choffnes. “No hay una manera fácil de cerrar esta apertura de privacidad”.

GoPuff ha cambiado sus términos de acuerdo de servicio para alertar a los usuarios que el puede tomar capturas de pantalla de sus patrones de uso. Google emitió una declaración enfatizando que su política requiere que los desarrolladores divulguen a los usuarios cómo se recopilará su información.

Pero Wilson dijo que esto protege a las compañías de las demandas legales mientras que hacen poco para proteger la privacidad de los usuarios, quienes rara vez leen estos largos acuerdos legalistas.

Ambos dijeron que la ventana de privacidad no se cerrará hasta que las compañías telefónicas rediseñen sus sistemas operativos, lo que no es probable que suceda pronto.