Android es el sistema operativo propiedad de Google que lanzó en 2008 y que está basado en el sistema operativo de código libre GNU-Linux. Desde su aparición, Android ha sido un sistema operativo con muy buena acogida por parte de los usuarios que lo han llevado a ser el sistema operativo móvil más vendido en el último año con un 75% del mercado.
Android posee una tienda virtual llamada Google Play donde los desarrolladores pueden enviar sus aplicaciones para que los usuarios las descarguen. Google es la encargada de mantener el Google Play y asegurar que las aplicaciones que se suben son seguras.
Modelo de seguridad en Android
Android ha implementado diversos mecanismos para garantizar la seguridad de su sistema operativo. Por ejemplo, Android obliga a que las aplicaciones deban estar firmadas digitalmente y que los desarrolladores compartan el certificado con Google para que puedan publicar la aplicación en Google Play. También incorpora un mecanismo para aislar las diferentes aplicaciones entre ellas, evitando así que una aplicación pueda obtener datos de otra. Esto ocurre gracias al sistema de permisos por el cual, solo se puede acceder a los recursos que explícitamente se requieran.
Aunque el modelo de seguridad de Android es una gran mejora respecto a los sistemas operativos tradicionales de escritorio, este tiene dos grandes inconvenientes:
- El sistema que utiliza Android para obtener el origen de una aplicación podría permitir a un usuario malintencionado crear y distribuir malware anónimamente.
- El sistema de permisos que utiliza, aunque extremadamente potente, deja en último lugar las decisiones de seguridad al usuario. Desafortunadamente, la mayoría de los usuarios no son técnicamente capaces de tomar esas decisiones provocando que se instalen aplicaciones que requieren más permisos de los necesarios.
Estudio sobre los permisos requeridos
Basándose en estos dos inconvenientes, los creadores de malware han aprovechado para modificar aplicaciones lícitas y añadirle funcionalidades como el envío de SMS, la inclusión de los dispositivos en redes zombie o el acceso a datos personales.
En el Informe de seguridad en juegos online de 2011 se realizó un estudio comparativo entre los permisos que requerían los juegos publicados en Google Play los descargados de la web www.4shared.com de compartición de archivos.
Adicionalmente, y dado que después de la publicación del pasado estudio fueron varios los lectores que nos pidieron un análisis de la aplicación Aptoide, se ha realizado un estudio sobre la misma. Pero, ¿Qué es Aptoide?
Aptoide es un Market alternativo que pone a disposición de los usuarios aplicaciones que no tienen que pasar la verificación de Google. Típicamente se usa para distribuir aplicaciones que originalmente son de pago de forma gratuita. Como muestra representativa, se eligieron los 8 markets con más número de aplicaciones y se auditaron los permisos de un total de 10.112 juegos.
A continuación se muestra una relación de los 20 permisos más demandados por los juegos descargados del Market alternativo Aptoide:
| Porcentaje | Nº de aplicaciones | Permiso |
| 95.95% | 9703 | Acceso íntegro a Internet |
| 73.75% | 7458 | Ver estado de la red |
| 53.39% | 5399 | Leer la identidad y el estado del teléfono |
| 52.92% | 5352 | Modificar o eliminar el contenido de la tarjeta SD |
| 36.66% | 3708 | Impedir que el dispositivo entre en modo de suspensión |
| 33.61% | 3399 | Controlar vibración |
| 26.08% | 2638 | Ver estado de WiFi |
| 25.21% | 2550 | Soporte para facturación en la aplicación |
| 14.53% | 1470 | Ubicación común (basada en red) |
| 13.25% | 1340 | Comprobar licencia de facturación |
| 12.47% | 1261 | Detectar cuentas reconocidas |
| 7.73% | 782 | Enviar y recibir mensajes a C2DM |
| 8.47% | 857 | Precisar la ubicación (GPS) |
| 7.50% | 759 | Recuperar lista de tareas en marcha |
| 6.30% | 638 | Indicar a la aplicación que el teléfono se ha iniciado |
| 4.53% | 459 | Leer datos de contacto |
| 3.95% | 400 | Modificar parámetros de audio |
| 3.59% | 364 | Modificar el estado de la Wifi |
| 3.31% | 335 | Modificar el estado de la Red |
| 3.14% | 318 | Instalar accesos directos |
Resulta curioso el caso del juego más descargado de Aptoide: Super Mario Bros. Este juego, que ha sido descargado un total de 1.317.612 veces requiera permisos para enviar, recibir y modificar mensajes SMS cuando el juego no incorpora ningún sistema de mensajería.
Por último, solo queda mostrar la gráfica comparativa entre los tres estudios. Como se observa en la gráfica siguiente, la distribución porcentual de los permisos requeridos es diferente, siendo los juegos descargados de Internet los que piden, en un porcentaje mayor, permisos de los considerados como “peligrosos”.
Comparativa de permisos en Android
Este resultado, nos confirma algo que a priori parecía esperado y por tanto, desde nuestro blog, seguimos indicando lo siguiente: Los juegos descargados Google Play son menos peligrosos que los descargados de Internet.
yo he descargado el san andreas para móvil en aptoide y no me atrevo a iniciarlo porque me pide acceso a todos los archivos del dispositivo me parece una cosa exagerada y fuera de lugar he escrito varias reseñas y preguntando el por qué de eso y no recibo contestación ni de aptoide ni del que ha puesto la tienda de juegos en aptoide ni de nadie
Como mínimo es mosqueante
Que un juego pida permisos para leer y escribir en la memoria es normal. Debe poder guardar información de la evolución del juego, por ejemplo.
El problema es que, la persona que lo ha “preparado” podría usar esos permisos para leer todo lo demás, y no lo sabrías. Es el riesgo de usar aplicaciones no oficiales.