10 febrero 2014

PATIA: Proyecto español sobre privacidad en Apps IOS








Últimamente hemos estado hablando en el blog de cómo saber qué aplicaciones de smartphone son capaces de geolocalizarte, utilizando fundamentalmente el propio GPS que trae integrado el dispositivo.

Si el terminal no está rooteado o jailbreakeado, cuando se ejecutan, enviarte notificaciones o utilizar el GPS o acceder a los contactos, preguntan al usuario si les da permiso para hacerlo. En aquellos dispositivos que tengan sistema operativo Android, existe un fichero llamado Manifest donde aparecen listados esos permisos. Muchas veces, resulta increible cuando nos preguntamos por qué una aplicación de recetas de cocina, necesita acceder a nuestra agenda de contactos. ¿Será para invitar a todos a comer a casa cuando hayamos terminado de cocinar algo? 

Es decir, que los desarrolladores de aplicaciones suelen sobredimensionar los permisos necesarios para la ejecución de las mismas, yendo más allá del principio de "Need to Know", a veces por comodidad, futura escalabilidad o dudosas intenciones ocultas.

Esto deriva en que la privacidad de los usuarios esté en mano de las aplicaciones que instalamos en los terminales, a las que no siempre prestamos toda la atención necesaria. Al menos, en el caso de Android, lo puedes ver antes de instalar la aplicación. En cambio, en IOS, vas viendo las necesidades de la aplicación según la vas utilizando. 

Por ello, y pensando en concienciar y hacer ver a los usuarios qué aplicaciones para IOS son potencialmente más peligrosas para nuestra privacidad, ha surgido de la mano del GSSIM, o Grupo de Investigación en Seguridad de Sistemas Móviles de la Universidad de León, un proyecto llamado PATiA, siglas de Privacy Analysis Tool for IOS applications en el que han recopilado más de 5600 aplicaciones y han analizado una a una los permisos a recursos que solicitan. Los recursos que califican son si la aplicación puede acceder o nincluso subir la agenda de contactos a sus servidores, si pueden aprender tu identidad real en base a correlar tus diferentes IDs para conformar tus gustos y hábitos, si pueden o no leer la dirección MAC de la tarjeta wireless, acceso a calendarios, fotos y videos guardados, tracear la localización, acceso al nombre y la MAC de la red Wireless a la que estás conectado, si puede o no acceder a Internet o si puede leer el contenido copiado al portapapeles. 

En base al permiso para acceder a estos recursos, se establece un "scoring de peligrosidad" o de "Invasión de privacidad" de la aplicación.

En la web https://patia.unileon.es se pueden ver todas las apps clasificadas, y establecer filtros, búsquedas por nombre, por Scoring de mayor a menor y viceversa, etc,…. Llama muchísimo la atención que aplicaciones como Skype o Emoji (utilizada para instalarse como un teclado y añadir dibujitos en cualquier aplicación para IOS) puedan acceder a TODO, siendo de las más peligrosas contra la privacidad del usuario.

Además, si alguna aplicación no ha sido analizada aún, existe la posibilidad de solicitar, desde la web, que la analicen y la incluyan en la lista. 

Decir que, según me dijo Álvaro Botas, el proyecto aún está en fase Beta, pero por lo que he visto, es más que útil. 


Estoy seguro que si te pones a buscar las apps que tienes instaladas en tu dispositivo IOS, terminas desinstalando más de una: Por experiencia propia!