Los problemas de seguridad en Android y otros sistemas operativos parece que nunca van a terminar, recientemente se ha descubierto que un conjunto de aplicaciones que se encuentran disponible en Google Play han estado recopilando información sensible de los usuarios, en total podrían haber a través de un SDK de terceros.
Sumando todas las descargas que se han realizado de estás aplicaciones sobrepasan los 45 millones de instalaciones. Según los investigadores de seguridad, el SKD se encargaba de recopilar información que incluye el contenido del portapapeles, datos de GPS, direcciones de correo electrónico, números de teléfono e incluso la dirección MAC del enrutador del módem y el SSID de la red del usuario.
Las aplicaciones recopilaban información sin previa autorización del usuario
Lógicamente, estos datos recopilados, que por supuesto, el usuario no sabe que las aplicaciones tienen acceso, resultan un grave riesgos de privacidad para los usuarios si se usan de forma incorrecta o si se filtran debido a la seguridad deficiente del servidor o la base de datos.
A parte de los datos mencionados anteriormente, el SDK también tiene acceso a información relacionada con las billeteras criptográficas, contraseñas o números de tarjetas de crédito; este tipo de datos no se deben almacenar en una base de datos de terceros.
Vía AppCensus, se ha descubierto que el SDK de terceros cuando recopila toda la información la transmite al dominio «mobile.measurelib.com», el cual parece ser propiedad de una empresa de análisis con sede en Panamá llamada Measurement Systems.
Lista de aplicaciones que usaban este SDK
A continuación te mostraremos la lista de las aplicaciones más populares que hacen uso de este SDK de terceros para recopilar información:
- Radar de cámara de velocidad : 10 millones de instalaciones (número de teléfono, IMEI, SSID del enrutador, dirección MAC del enrutador)
- Al-Moazin Lite : 10 millones de instalaciones (número de teléfono, IMEI, SSID del enrutador, dirección MAC del enrutador)
- WiFi Mouse : 10 millones de instalaciones (dirección MAC del enrutador)
- Escáner de código de barras y QR : 5 millones de instalaciones (número de teléfono, dirección de correo electrónico, IMEI, datos de GPS, SSID del enrutador, dirección MAC del enrutador)
- Qibla Compass Ramadan 2022 : 5 millones de instalaciones (datos GPS, SSID del enrutador, dirección MAC del enrutador)
- Widget de tiempo y reloj simple : 1 millón de instalaciones (número de teléfono, IMEI, SSID del enrutador, dirección MAC del enrutador)
- Handcent Next SMS-Text w/MSS : 1 millón de instalaciones (dirección de correo electrónico, IMEI, SSID del enrutador, dirección MAC del enrutador)
- Smart Kit 360: 1 millón de instalaciones (dirección de correo electrónico, IMEI, SSID del enrutador, dirección MAC del enrutador)
- Al Quran mp3 – 50 recitadores y traducción de audio – 1 millón de instalaciones (datos GPS, SSID del enrutador, dirección MAC del enrutador)
- Full Quran MP3: más de 50 idiomas y traducción de audio : 1 millón de instalaciones (datos GPS, SSID del enrutador, dirección MAC del enrutador)
- Audiosdroid Audio Studio DAW : 1 millón de instalaciones (número de teléfono, IMEI, datos GPS, SSID del enrutador, dirección MAC del enrutador)
Cabe mencionar que todas las aplicaciones que hacían uso de este SDK informaron a Google en 2021, lo que desencadeno una investigación rigurosa, por lo que posteriormente fueron eliminadas.
Por su parte los editores han logrado reintroducir de nuevo las aplicaciones en la tienda de Google luego de eliminar el SDK que recopilaba los datos sensibles de los usuarios.
Sin embargo, si los usuarios instalaron las aplicaciones en una fecha anterior, el SDK aún estaría ejecutándose en sus teléfonos inteligentes, por lo que se recomienda desinstalar y volver a instalar la nueva versión de la aplicación.