Permisos de aplicación

Los permisos de aplicación son un medio para controlar y regular por software el acceso a funciones a nivel de sistema y de dispositivo. Normalmente, los tipos de permisos cubren funciones susceptibles de tener implicaciones para la privacidad, por ejemplo, la capacidad de acceder a los componentes hardware del dispositivo (incluyendo la cámara y el micrófono de un teléfono) y a datos personales (como dispositivos de almacenamiento, listas de contactos y la ubicación geográfica actual del usuario). Los permisos suelen estar declarados en el manifiesto de la aplicación, y determinados permisos deben ser concedidos específicamente en tiempo de ejecución por el usuario, quien podrá revocarlos en cualquier momento.

Los sistemas de administración de permisos son habituales en los sistemas operativos móviles, en que los permisos que necesitan determinadas aplicaciones deben declararse a través de la tienda de aplicaciones de la plataforma.

Permisos para dispositivos móviles

A continuación se enumeran tipos de permisos habituales en sistemas operativos móviles para teléfonos inteligentes o tabletas:[1][2]

En las versiones anteriores a Android 6.0 «Marshmallow», se otorgaban los permisos automáticamente a las aplicaciones en tiempo de ejecución y se presentaban dichos permisos al instalarse en Google Play Store. Desde Marshmallow, ciertos permisos requieren que la aplicación pida permiso al usuario en tiempo de ejecución. Estos permisos también se pueden revocar en cualquier momento a través del menú de configuración de Android.[3]

En ocasiones, los desarrolladores de aplicaciones abusan de los permisos en Android para recopilar información personal y enviar publicidad; en particular, se sabe que numerosas aplicaciones para utilizar la cámara del teléfono móvil a modo de linterna (que se han vuelto en gran medida redundantes debido a la integración de esta funcionalidad a nivel de sistema en versiones posteriores de Android) requieren una gran cantidad de permisos que no son necesarios para realizar la funcionalidad declarada.[4]

IOS impone requisitos similares para la concesión de permisos en tiempo de ejecución, incluyendo controles particulares para habilitar Bluetooth, Wi-Fi y la geolocalización.[5][6]

Permisos web

Los permisos web (también conocidos como WebPermission) son un sistema de permisos para navegadores web.[7]​ Cuando una aplicación web necesita algún dato tras un permiso, debe solicitarlo primero. Cuando lo hace, el usuario ve una ventana emergente que le pide que tome una decisión. La decisión se almacena en memoria, aunque últimamente también se puede borrar.

En la actualidad, se controlan los siguientes recursos:

Análisis

El modelo de control de acceso basado en permisos asigna a una aplicación privilegios de acceso a determinados objetos de datos. Se trata de un modelo derivado del modelo de control de acceso discrecional. Los permisos de acceso suelen concederse en el contexto de un determinado usuario en un determinado dispositivo. Los permisos se conceden de forma permanente con pocas restricciones automáticas.

En algunos casos, la implementación de los permisos sigue un enfoque de «todo o nada»: el usuario debe conceder todos los permisos requeridos para poder acceder a la aplicación o de lo contrario no podrá acceder a la misma. Aún existe falta de transparencia cuando el programa o aplicación utiliza un permiso para acceder a datos protegidos por el mecanismo de control de acceso. Aunque el usuario pueda revocar un permiso, la aplicación podría tratar de forzarlo a volver a concedérselo, por ejemplo, colgándose o volviendo a pedirle el permiso para poder acceder a la aplicación.

El sistema de permisos ha sido ampliamente criticado por investigadores por varios motivos, entre ellos:

Algunas aplicaciones, como XPrivacy y Mockdroid,[18]​ falsifican datos como medida de privacidad. Otros métodos de transparencia son la elaboración de perfiles de comportamiento longitudinales y el análisis de privacidad de múltiples fuentes del acceso a datos de aplicaciones.[19][20]

Referencias

  1. «Manifest.permission - Android Developers». developer.android.com. 
  2. «iOS Security Guide». 
  3. Cimpanu, Catalin. «Permission-greedy apps delayed Android 6 upgrade so they could harvest more user data». ZDNet (en inglés). Consultado el 10 de enero de 2020. 
  4. Cimpanu, Catalin. «Most Android flashlight apps request an absurd number of permissions». ZDNet (en inglés). Consultado el 10 de enero de 2020. 
  5. Cipriani, Jason. «Keep your location secret with iOS 13's new privacy features». CNET (en inglés). Consultado el 8 de agosto de 2019. 
  6. Welch, Chris (19 de septiembre de 2019). «Here's why so many apps are asking to use Bluetooth on iOS 13». The Verge (en inglés). Consultado el 26 de septiembre de 2019. 
  7. «Permissions». w3c.github.io. Consultado el 10 de mayo de 2019. 
  8. «Geolocation API Specification 2nd Edition». www.w3.org. 
  9. «Notifications API Standard». notifications.spec.whatwg.org. 
  10. «Push API». www.w3.org. 
  11. «Web Background Synchronization». wicg.github.io. 
  12. a b «Media Capture and Streams». w3c.github.io. 
  13. Deceived by Design - How tech companies use dark patterns to discourage us from exercising our rights to privacy. Consumer council of Norway / Forbrukerrådet. 27 de junio de 2018. Archivado desde el original el 11 de octubre de 2020. 
  14. Fritsch, Lothar; Momen, Nurul (2017). Derived Partial Identities Generated from App Permissions. Gesellschaft für Informatik. pp. 117-130. 
  15. Kelley, Patrick Gage; Consolvo, Sunny; Cranor, Lorrie Faith; Jung, Jaeyeon; Sadeh, Norman; Wetherall, David (2012). «A Conundrum of Permissions: Installing Applications on an Android Smartphone». En Blyth, Jim; Dietrich, Sven; Camp, L. Jean, eds. Financial Cryptography and Data Security. Lecture Notes in Computer Science (en inglés) 7398. Springer Berlin Heidelberg. pp. 68-79. ISBN 978-3-642-34638-5. S2CID 17861847. doi:10.1007/978-3-642-34638-5_6. 
  16. Momen, N.; Hatamian, M.; Fritsch, L. (November 2019). «Did App Privacy Improve After the GDPR?». IEEE Security Privacy 17 (6): 10-20. ISSN 1558-4046. S2CID 203699369. doi:10.1109/MSEC.2019.2938445. 
  17. Momen, Nurul (2020). Measuring Apps' Privacy-Friendliness : Introducing transparency to apps' data access behavior. 
  18. Beresford, Alastair R.; Rice, Andrew; Skehin, Nicholas; Sohan, Ripduman (2011). «MockDroid». Proceedings of the 12th Workshop on Mobile Computing Systems and Applications. New York, New York, USA: ACM Press. pp. 49-54. ISBN 978-1-4503-0649-2. S2CID 2166732. doi:10.1145/2184489.2184500. 
  19. Momen, Nurul (2018). «Towards Measuring Apps' Privacy-Friendliness». Diva. 
  20. Hatamian, Majid; Momen, Nurul; Fritsch, Lothar; Rannenberg, Kai (2019). «A Multilateral Privacy Impact Analysis Method for Android Apps». En Naldi, Maurizio; Italiano, Giuseppe F.; Rannenberg, Kai; Medina, Manel; Bourka, Athena, eds. Privacy Technologies and Policy. Lecture Notes in Computer Science (en inglés) 11498. Springer International Publishing. pp. 87-106. ISBN 978-3-030-21752-5. S2CID 184483219. doi:10.1007/978-3-030-21752-5_7.