Permisos de aplicación

Límites para la información del sistema o del dispositivo

Los permisos son un medio para controlar y regular el acceso a funciones específicas del sistema y del dispositivo por parte del software. Normalmente, los tipos de permisos cubren funciones que pueden tener implicaciones para la privacidad, como la capacidad de acceder a las características de hardware de un dispositivo (incluida la cámara y el micrófono) y a datos personales (como dispositivos de almacenamiento, listas de contactos y la ubicación geográfica actual del usuario). Los permisos suelen declararse en el manifiesto de una aplicación y el usuario debe conceder determinados permisos específicamente en tiempo de ejecución, y puede revocarlos en cualquier momento.

Los sistemas de permisos son comunes en los sistemas operativos móviles, donde los permisos que necesitan aplicaciones específicas deben revelarse a través de la tienda de aplicaciones de la plataforma.

Dispositivos móviles

En los sistemas operativos móviles para teléfonos inteligentes y tabletas , los tipos típicos de permisos regulan: ^{[1] [2]}

• Acceso al almacenamiento y a la información personal, como contactos , citas del calendario, etc.
• Seguimiento de ubicación .
• Acceso a la cámara interna y/o micrófono del dispositivo .
• Acceso a sensores biométricos , incluidos lectores de huellas dactilares y otros sensores de salud.
• Acceso a Internet .
• Acceso a interfaces de comunicaciones (incluidos sus identificadores de hardware y la intensidad de la señal cuando corresponda, y solicitudes para habilitarlas), como Bluetooth , Wi-Fi , NFC y otras.
• Realizar y recibir llamadas telefónicas .
• Enviar y leer mensajes de texto
• La capacidad de realizar compras dentro de la aplicación .
• La capacidad de "superponerse" dentro de otras aplicaciones.
• Instalar, eliminar y administrar de cualquier otro modo aplicaciones.
• Tokens de autenticación (por ejemplo, tokens OAuth ) de servicios web almacenados en el almacenamiento del sistema para compartir entre aplicaciones.

Antes de Android 6.0 "Marshmallow" , los permisos se otorgaban automáticamente a las aplicaciones en tiempo de ejecución y se presentaban al instalarlas en Google Play Store . Desde Marshmallow, ciertos permisos ahora requieren que la aplicación solicite permiso al usuario en tiempo de ejecución. Estos permisos también pueden revocarse en cualquier momento a través del menú de configuración de Android. ^[3] Los desarrolladores de aplicaciones a veces abusan del uso de permisos en Android para recopilar información personal y ofrecer publicidad; en particular, se sabe que las aplicaciones para usar el flash de la cámara de un teléfono como linterna (que se han vuelto en gran medida redundantes debido a la integración de dicha funcionalidad a nivel del sistema en versiones posteriores de Android) requieren una gran variedad de permisos innecesarios más allá de lo que realmente se necesita para la funcionalidad indicada. ^[4] Según un estudio de 2024 realizado por NordVPN , el 58% de las aplicaciones móviles solicitan acceso a datos confidenciales como ubicación y almacenamiento, mientras que el 55% de estas aplicaciones solicitan permisos principalmente con fines publicitarios. ^[5] Esta tendencia resalta las crecientes preocupaciones sobre cómo las aplicaciones móviles acceden a la información personal, a menudo más allá de lo necesario para la funcionalidad principal de la aplicación.

iOS impone un requisito similar para que se otorguen permisos en tiempo de ejecución, con controles particulares ofrecidos para habilitar Bluetooth, Wi-Fi y seguimiento de ubicación. ^{[6] [7]}

Permisos web

WebPermissions es un sistema de permisos para navegadores web . ^[8] Cuando una aplicación web necesita algún dato detrás del permiso, primero debe solicitarlo. Cuando lo hace, el usuario ve una ventana que le pide que elija una opción. La opción se recuerda, pero se puede borrar más tarde.

Actualmente se controlan los siguientes recursos:

• geolocalización ^[9]
• notificaciones de escritorio ^[10]
• trabajadores de servicios ^{[11] [12]}
• sensores
  • Dispositivos de captura de audio, ^[13] como tarjetas de sonido , y sus nombres de modelo y características.
  • Dispositivos de captura de vídeo, ^[13] como cámaras , y sus identificadores y características.

Análisis

El modelo de control de acceso basado en permisos asigna privilegios de acceso a determinados objetos de datos a la aplicación. Es un derivado del modelo de control de acceso discrecional. Los permisos de acceso se conceden normalmente en el contexto de un usuario específico en un dispositivo específico. Los permisos se conceden de forma permanente con pocas restricciones automáticas.

En algunos casos, los permisos se implementan con un enfoque de "todo o nada": un usuario debe otorgar todos los permisos necesarios para acceder a la aplicación o no puede acceder a ella. Sigue habiendo una falta de transparencia cuando un programa o aplicación utiliza el permiso para acceder a los datos protegidos por el mecanismo de control de acceso a permisos. Incluso si un usuario puede revocar un permiso, la aplicación puede chantajearlo negándose a operar, por ejemplo, simplemente bloqueando la aplicación o pidiéndole al usuario que otorgue el permiso nuevamente para poder acceder a la aplicación.

El mecanismo de permiso ha sido ampliamente criticado por los investigadores por varias razones, entre ellas:

• Intransparencia en la extracción y vigilancia de datos personales, incluida la creación de una falsa sensación de seguridad; ^{[14] [15]}
• La fatiga del usuario final ante la microgestión de los permisos de acceso conduce a una aceptación fatalista de la vigilancia y la falta de transparencia; ^[16]
• Extracción masiva de datos y vigilancia personal realizada una vez otorgados los permisos. ^{[17] [18]}

Algunas aplicaciones, como XPrivacy y Mockdroid ^[19], falsifican datos para actuar como medida de privacidad. Otros métodos de transparencia incluyen la elaboración de perfiles de comportamiento longitudinales y el análisis de privacidad de múltiples fuentes del acceso a los datos de las aplicaciones. ^{[20] [21]}

Referencias

1. "Manifest.permission - Desarrolladores de Android". developer.android.com .
2. "Guía de seguridad de iOS" (PDF) .
3. Cimpanu, Catalin. "Las aplicaciones que exigen muchos permisos retrasaron la actualización de Android 6 para poder recopilar más datos de los usuarios". ZDNet . Consultado el 10 de enero de 2020 .
4. Cimpanu, Catalin. "La mayoría de las aplicaciones de linterna de Android solicitan una cantidad absurda de permisos". ZDNet . Consultado el 10 de enero de 2020 .
5. "Privacidad móvil: ¿Qué quieren saber tus aplicaciones? | NordVPN". nordvpn.com . Consultado el 17 de septiembre de 2024 .
6. Cipriani, Jason. "Mantenga su ubicación en secreto con las nuevas funciones de privacidad de iOS 13". CNET . Consultado el 8 de agosto de 2019 .
7. Welch, Chris (19 de septiembre de 2019). "Aquí se explica por qué tantas aplicaciones piden usar Bluetooth en iOS 13". The Verge . Consultado el 26 de septiembre de 2019 .
8. "Permisos". w3c.github.io . Consultado el 10 de mayo de 2019 .
9. "Especificación API de geolocalización 2.ª edición". www.w3.org .
10. "Estándar API de notificaciones". notifications.spec.whatwg.org .
11. "API Push". www.w3.org .
12. "Sincronización en segundo plano web". wicg.github.io .
13. "Captura de medios y transmisiones". w3c.github.io .
14. Moen, Gro Mette, Ailo Krogh Ravna y Finn Myrstad: Deceived by Design - How tech companies use dark patterns to disuadirnos de ejercer nuestro derecho a la privacidad., 2018, Consejo de consumidores de Noruega / Forbrukerrådet. Informe. https://www.forbrukerradet.no/undersokelse/no-undersokelsekategori/deceived-by-design Archivado el 11 de octubre de 2020 en Wayback Machine.
15. Fritsch, Lothar; Momen, Nurul (2017). "Identidades parciales derivadas generadas a partir de permisos de aplicaciones". Gesellschaft für Informatik: 117-130. {{cite journal}}: Requiere citar revista |journal=( ayuda )
16. Kelley, Patrick Gage; Consolvo, Sunny; Cranor, Lorrie Faith; Jung, Jaeyeon; Sadeh, Norman; Wetherall, David (2012). "Un enigma de permisos: instalación de aplicaciones en un teléfono inteligente Android". En Blyth, Jim; Dietrich, Sven; Camp, L. Jean (eds.). Criptografía financiera y seguridad de datos . Apuntes de clase en informática. Vol. 7398. Springer Berlin Heidelberg. págs. 68–79. CiteSeerX 10.1.1.232.4261 . doi :10.1007/978-3-642-34638-5_6. ISBN .  978-3-642-34638-5.S2CID17861847  .​
17. Momen, N.; Hatamian, M.; Fritsch, L. (noviembre de 2019). "¿Mejoró la privacidad de las aplicaciones después del RGPD?". IEEE Security Privacy . 17 (6): 10–20. doi :10.1109/MSEC.2019.2938445. ISSN  1558-4046. S2CID  203699369.
18. Momen, Nurul (2020). "Medición del respeto a la privacidad de las aplicaciones: introducción de transparencia en el comportamiento de acceso a los datos de las aplicaciones". {{cite journal}}: Requiere citar revista |journal=( ayuda )
19. Beresford, Alastair R.; Rice, Andrew; Skehin, Nicholas; Sohan, Ripduman (2011). "MockDroid". Actas del 12.º Taller sobre sistemas y aplicaciones de computación móvil . Nueva York, Nueva York, EE. UU.: ACM Press. págs. 49–54. doi :10.1145/2184489.2184500. ISBN . 978-1-4503-0649-2. Número de identificación del sujeto  2166732.
20. Momen, Nurul (2018). "Hacia la medición de la privacidad de las aplicaciones". Diva .
21. Hatamian, Majid; Momen, Nurul; Fritsch, Lothar; Rannenberg, Kai (2019). "Un método de análisis del impacto de la privacidad multilateral para aplicaciones de Android". En Naldi, Maurizio; Italiano, Giuseppe F.; Rannenberg, Kai; Medina, Manel; Bourka, Athena (eds.). Tecnologías y políticas de privacidad . Apuntes de clase en informática. Vol. 11498. Springer International Publishing. págs. 87–106. doi :10.1007/978-3-030-21752-5_7. ISBN 978-3-030-21752-5. Número de identificación del sujeto  184483219.