Un informe de Cybernews revela que 22 aplicaciones de viajes notorias acceden a datos personales y archivos críticos del sistema en Android. Permisos de acceso que en ocasiones parecen ocultos a los usuarios a pesar del RGPD y suponen riesgos para el buen funcionamiento del dispositivo. El mayor temor es que los piratas informáticos se apoderen de las bases de datos de estas aplicaciones y se concedan derechos de acceso a los datos.
¿Las aplicaciones de viajes son demasiado ávidas de datos personales? Esta es la observación realizada por nuestros colegas de Cybernews durante una encuesta realizada entre 22 aplicaciones de Android ampliamente utilizadas en el sector hotelero y de viajes. El análisis revela que algunas aplicaciones se conceden el derecho de leer todos los intercambios por SMS (es el caso, en particular, de la OTA india MakeMyTrip), acceder a la cámara o al micrófono (14 de las 22 aplicaciones analizadas son aplicaciones de viaje), leer los archivos del usuario e incluso modificar la configuración del sistema, como es el caso de HotelTonight en particular, una aplicación perteneciente al grupo Airbnb.
Las 22 aplicaciones de viajes en Android que más datos personales consumen. Crédito: Cibernoticias
“ Las aplicaciones que solicitan permisos confidenciales, especialmente aquellos relacionados con archivos del sistema y configuración del dispositivo, son señales de alerta que pueden sugerir intenciones maliciosas o un diseño de código deficiente., advierte Mantas Kasiliauskis, investigador de seguridad. Según información de Cybernews, Booking.com, MakeMyTrop y HotelTonight se encuentran entre los más intrusivos.
En la parte superior, las aplicaciones que dicen acceder a la cámara del teléfono del usuario, en la parte inferior, las que lo hacen sin pedir permiso al usuario. Créditos: Cibernoticias
Una falta de transparencia
Otros incluso tienen la posibilidad de realizar llamadas telefónicas. El problema no reside tanto en el poder que se les otorga sino en el hecho de que ciertos actores no revelan explícitamente que utilizan estos datos personales, tanto en la información mostrada en Google Play Store como en los archivos publicados por los desarrolladores. . Sin embargo, este comportamiento es condenado por el RGPD, que exige una transparencia total en el uso de los datos personales de los usuarios.
Aplicaciones de viajes que tienen permiso para leer datos del teléfono, según informe de Cybernews. Créditos: Cibernoticias
“ Una aplicación bien diseñada sólo debe solicitar permisos que sean esenciales para su funcionamiento. Por lo tanto, los usuarios siempre deben tener cuidado al otorgar permisos a las aplicaciones y revisarlas detenidamente. Lamentablemente, nuestra investigación reveló que no siempre es así”. deplora Mantas Kasiliauskis.
Acceso a datos confidenciales del dispositivo
El acceso a la identidad internacional del equipo móvil (IMEI), a la identidad internacional del abonado móvil (IMSI), al número de teléfono o incluso al número de serie del dispositivo y al identificador único de la tarjeta SIM, resulta especialmente arriesgado e injustificado, según la ciberseguridad. especialistas. El investigador señala los riesgos de seguridad asociados con el permiso descubierto que permite a HotelTonight manipular y modificar archivos a nivel del sistema.
En la parte superior, aplicaciones de viajes que afirman recopilar datos de geolocalización; en el medio, aquellas que dan acceso a una geolocalización aproximada o precisa; en la parte inferior, quienes no declaran acceso a los datos de geolocalización. Créditos: Cibernoticias
Así como aplicaciones como Hilton Honor o Trip.com son capaces de modificar la configuración de un dispositivo, por ejemplo cambiando el idioma, la orientación de la pantalla, la distribución del teclado y otros. Lo suficiente como para alterar la experiencia del usuario o interferir con el funcionamiento de otras aplicaciones. Al piratear las bases de datos de estas aplicaciones, los piratas informáticos tendrían vía libre para interferir en el correcto funcionamiento de los teléfonos móviles de los usuarios.
Autorizaciones opcionales, asegúrese de MakeMyTrip y Marriott Bonvoy
“Favorecemos la transparencia explicando claramente el motivo de cada autorización. Por ejemplo, el acceso a la cámara se utiliza para cargar fotos de perfil y documentos de verificación, incluso para cambios de moneda y solicitudes de visa.defiende un portavoz de MakeMyTrip a Cybernews, destacando que las autorizaciones solicitadas eran opcionales.
Un discurso retomado por un representante de Marriot Bonvoy destacando el carácter opcional de las autorizaciones de geolocalización y acceso a las cámaras. “No son obligatorios ni están configurados de forma predeterminada al momento de descargar la aplicación; el usuario de la aplicación debe otorgar un permiso específico en la configuración de su dispositivo móvil”, el explica. Por su parte, Kayak y Momondo dijeron que estaban investigando el hecho de que las autorizaciones solicitadas por su aplicación no se reportan claramente en Google Play Store. Como recordatorio, los permisos otorgados a las aplicaciones se pueden revisar desde la configuración del teléfono a través del “Administrador de aplicaciones” o desde la pestaña “Aplicaciones”.
Foto de apertura: Pathum Danthanarayana
Lea también:
