Los problemas de seguridad en Android y otros sistemas operativos parece que nunca van a terminar, recientemente se ha descubierto que un conjunto de aplicaciones que se encuentran disponible en Google Play han estado recopilando informaciĂłn sensible de los usuarios, en total podrĂan haber a travĂ©s de un SDK de terceros.
Sumando todas las descargas que se han realizado de estás aplicaciones sobrepasan los 45 millones de instalaciones. Según los investigadores de seguridad, el SKD se encargaba de recopilar información que incluye el contenido del portapapeles, datos de GPS, direcciones de correo electrónico, números de teléfono e incluso la dirección MAC del enrutador del módem y el SSID de la red del usuario.
Las aplicaciones recopilaban informaciĂłn sin previa autorizaciĂłn del usuario
LĂłgicamente, estos datos recopilados, que por supuesto, el usuario no sabe que las aplicaciones tienen acceso, resultan un grave riesgos de privacidad para los usuarios si se usan de forma incorrecta o si se filtran debido a la seguridad deficiente del servidor o la base de datos.
A parte de los datos mencionados anteriormente, el SDK también tiene acceso a información relacionada con las billeteras criptográficas, contraseñas o números de tarjetas de crédito; este tipo de datos no se deben almacenar en una base de datos de terceros.
VĂa AppCensus, se ha descubierto que el SDK de terceros cuando recopila toda la informaciĂłn la transmite al dominio «mobile.measurelib.com», el cual parece ser propiedad de una empresa de análisis con sede en Panamá llamada Measurement Systems.
Lista de aplicaciones que usaban este SDK
A continuación te mostraremos la lista de las aplicaciones más populares que hacen uso de este SDK de terceros para recopilar información:
- Radar de cámara de velocidad : 10 millones de instalaciones (número de teléfono, IMEI, SSID del enrutador, dirección MAC del enrutador)
- Al-Moazin Lite : 10 millones de instalaciones (número de teléfono, IMEI, SSID del enrutador, dirección MAC del enrutador)
- WiFi Mouse : 10 millones de instalaciones (dirección MAC del enrutador)
- Escáner de código de barras y QR : 5 millones de instalaciones (número de teléfono, dirección de correo electrónico, IMEI, datos de GPS, SSID del enrutador, dirección MAC del enrutador)
- Qibla Compass Ramadan 2022Â : 5 millones de instalaciones (datos GPS, SSID del enrutador, direcciĂłn MAC del enrutador)
- Widget de tiempo y reloj simple : 1 millón de instalaciones (número de teléfono, IMEI, SSID del enrutador, dirección MAC del enrutador)
- Handcent Next SMS-Text w/MSSÂ : 1 millĂłn de instalaciones (direcciĂłn de correo electrĂłnico, IMEI, SSID del enrutador, direcciĂłn MAC del enrutador)
- Smart Kit 360: 1 millĂłn de instalaciones (direcciĂłn de correo electrĂłnico, IMEI, SSID del enrutador, direcciĂłn MAC del enrutador)
- Al Quran mp3 – 50 recitadores y traducción de audio – 1 millón de instalaciones (datos GPS, SSID del enrutador, dirección MAC del enrutador)
- Full Quran MP3: más de 50 idiomas y traducción de audio : 1 millón de instalaciones (datos GPS, SSID del enrutador, dirección MAC del enrutador)
- Audiosdroid Audio Studio DAW : 1 millón de instalaciones (número de teléfono, IMEI, datos GPS, SSID del enrutador, dirección MAC del enrutador)
Cabe mencionar que todas las aplicaciones que hacĂan uso de este SDK informaron a Google en 2021, lo que desencadeno una investigaciĂłn rigurosa, por lo que posteriormente fueron eliminadas.
Por su parte los editores han logrado reintroducir de nuevo las aplicaciones en la tienda de Google luego de eliminar el SDK que recopilaba los datos sensibles de los usuarios.
Sin embargo, si los usuarios instalaron las aplicaciones en una fecha anterior, el SDK aĂşn estarĂa ejecutándose en sus telĂ©fonos inteligentes, por lo que se recomienda desinstalar y volver a instalar la nueva versiĂłn de la aplicaciĂłn.
