Llama la atención el estudio realizado por Cybernews sobre 22 de las aplicaciones de viajes más populares para móviles, como Booking, Trip.com, Tripadvisor o Kayak, entre muchas otras, que pone en relieve cómo muchas de estas apps solicitan acceso a contenido como contactos, SMS, ubicación, cámara o micrófono, invadiendo la privacidad del usuario.
Los expertos en ciberseguridad advierten de manera consensuada que no es una buena práctica, por parte de los desarrolladores, pedir acceso y recopilar datos que no son estrictamente necesarios para el objetivo de la aplicación o su funcionamiento. El caso es que el acceso a la ubicación, realmente, sí que aporta facilidades al usuario al ofrecerle hoteles o alojamientos cerca de donde está. No obstante, según Cybernews, estas apps acceden a la ubicación y coordenadas precisas, de forma que si un actor malicioso logra acceso a estos datos, puede obtener información fiable sobre dónde vivimos o trabajamos.
Lo cierto es que, los ataques a empresas son tan comunes que habría que dar por sentado que los datos que ofrecemos podrían filtrarse en cualquier momento. Además, apps como Booking, Kayak, hopper o Hilton Honors no especifican que obtienen datos de ubicación precisos, pese a que sí lo hacen.
Pese a que, como decíamos, el acceso a la ubicación puede tener argumentos a favor, poco se entiende que las apps tengan acceso a la cámara del smartphone, a los SMS almacenados, o incluso a los ajustes del sistema. Según esta investigación, Booking, Tripadvisor o Radisson hotels, entre otras, pueden acceder a la cámara, pese a que algunas no lo admiten. En cuanto al acceso a los SMS, quizá lo más llamativo, es cierto que solo ha sido una app de las analizadas la que los lee: la aplicación de origen indio MakeMyTrip.
Pero otras, como HotelTonight o Hilton, pueden acceder o realizar ajustes en el sistema. Por ejemplo, HotelTonight es capaz de manipular archivos a nivel de sistema, mientras que la aplicación de la cadena de lujo Hilton puede acceder a componentes del sistema, lo que podría, con un mal uso, afectar al correcto funcionamiento del mismo. Sobre el acceso a la cámara, desde la empresa Kayak, y en respuesta a esta investigación, afirman que este permiso se justifica en que el usuario puede usar determinadas herramientas de la app, como la medición de maletas o KAYAK PriceCheck.
Finalmente, para resumir los hallazgos de este estudio sobre 22 apps en la Play Store, podemos enumerar algunas apps en función de los accesos que solicitan.
Apps que tienen acceso a SMS y teléfono y que, por tanto, podrían realizar llamadas en nuestro nombre:
- MakeMyTrip
- Hilton Honors
- Trip.com
Apps que pueden acceder a la agenda de contactos:
- MakeMyTrip
- Hilton Honors
- Hopper
Apps que pueden acceder al micrófono:
- Hotwire
- Trip.com
- MakeMyTrip
Apps que pueden acceder a datos privados del teléfono, como IMEI, IMSI o identificador único de la SIM:
- Vrbo
- Expedia
- MakeMyTrip
- Hotels.com
- Trip.com
Sirva todo esto para recordar la importancia de valorar qué permisos realmente deberíamos darle a las aplicaciones cuando las instalamos en nuestro smartphone.
Fuente: ADSLzone