Permisos en los juegos de Android (I)

Hoy miércoles comenzamos con una serie de entradas sobre videojuegos, que desarrollaremos a lo largo de estos días, y cuya información está basada en el Informe sobre Seguridad en Juegos Online 2011 [PDF, 1.2MB] publicado hace unos días.

Android ha implementado diversos mecanismos para garantizar la seguridad de su sistema operativo. Por ejemplo, Android obliga a que las aplicaciones deban estar firmadas digitalmente y que los desarrolladores compartan el certificado con Google para que puedan publicar la aplicación en el Market. También incorpora un mecanismo para aislar las diferentes aplicaciones entre ellas, evitando así que una aplicación pueda obtener datos de otra. Esto ocurre gracias al sistema de permisos por el cual, solo se puede acceder a los recursos que explícitamente se requieran.

Aunque el modelo de seguridad de Android es una gran mejora respecto a los sistemas operativos tradicionales de escritorio, este tiene dos grandes inconvenientes:

  • El sistema que utiliza Android para obtener el origen de una aplicación podría permitir a un usuario malintencionado crear y distribuir malware anónimamente.
  • El sistema de permisos que utiliza, aunque extremadamente potente, deja en último lugar las decisiones de seguridad al usuario. Desafortunadamente, la mayoría de los usuarios no son técnicamente capaces de tomar esas decisiones, provocando que se instalen aplicaciones que requieren más permisos de los necesarios.

Basándose en estos dos inconvenientes, los creadores de malware han aprovechado para modificar aplicaciones lícitas y añadirles funcionalidades como el envío de SMS o el acceso a datos personales.

Como no se dispone de datos sobre los permisos que requieren los diferentes juegos, se ha realizado una investigación para determinar el porcentaje de aplicaciones que solicitan permisos y qué tipo de permisos se solicitan. Los datos han sido recabados de la Web https://market.android.com y se han analizado un total de 3387 juegos, incluyendo los juegos gratuitos y los de pago. A continuación se muestra una relación de los 20 permisos más demandados por los juegos del sistema operativo Android:

De entre los muchos permisos, hemos querido destacar en la siguiente gráfica los que se han considerado como más críticos respecto a la seguridad del jugador.

De la Figura anterior se extrae que aproximadamente la mitad de los juegos tienen acceso al número de teléfono y al IMEI. También cabe destacar que casi 1 de cada 6 aplicaciones tiene permisos para obtener nuestra ubicación. Por último, un permiso que a priori no debería pedir un juego, como es enviar SMS, es requerido por el 1% de los juegos.

(N.d.E. La imagen de Android puede encontrarse en la página de Norebbo)