Google limita los servicios de accesibilidad y elimina las aplicaciones para grabar llamadas

Cada cierto tiempo, Google suele hacer cambios importantes en sus políticas. A veces por cuestiones de privacidad y otras para añadir funciones que exigen actualizar normas y directrices.

Pues bien, uno de los últimos cambios anunciados tiene que ver con la privacidad y la forma en que algunas aplicaciones usan los servicios de accesibilidad para grabar llamadas en el teléfono. Algo que, por cierto, no le hace mucha gracia al gigante tecnológico.

En este artículo te contamos los detalles de esta noticia y de paso te explicamos cómo funcionan los permisos en los teléfonos inteligentes con sistema operativo Android.

¿Qué son los servicios de accesibilidad?

Los servicios de accesibilidad son una serie de funciones que permiten que personas que tienen alguna discapacidad puedan utilizar su móvil Android. Por lo general, son gestos o atajos dirigidos a personas con deficiencias visuales, auditivas e incluso motoras.

Técnicamente, toda aplicación que esté enfocada en mejorar la experiencia de los usuarios con alguna discapacidad empleará los servicios de accesibilidad. Un proceso que requiere el permiso del usuario al momento de la instalación de la aplicación.

De esta forma, cuando una persona permite que una aplicación acceda a este nivel, lo que hace es dar mucho más margen de maniobra a esa aplicación. Esto, para que esta pueda ofrecer las mejoras en la interfaz, los gestos o cualquier otra función que le permita facilitar su uso.

Sin embargo, aquí es donde radica el problema. Esto, porque no todas las aplicaciones que piden acceso a los servicios de accesibilidad lo hacen pensando en mejorar la experiencia de los usuarios con alguna discapacidad.

Muchas lo hacen simplemente para saltarse otras restricciones de Google y ofrecer servicios que, aunque pueden ser útiles, utilizan la picaresca para ofrecer nuevas funciones.

El riesgo de los permisos de accesibilidad

Dar permiso a determinada aplicación a los servicios de accesibilidad de un teléfono inteligente puede transformarse en un verdadero dolor de cabeza. Especialmente, si desconocemos al desarrollador y sus intenciones.

Esto, porque no solo pueden ser usadas para ofrecer funciones útiles, sino también para producir ciberataques en los terminales afectados. Que es lo que ha venido pasando en los últimos años, con la aparición de muchas aplicaciones de dudosa procedencia y que, en la mayoría de casos, se emplean para estafar a otras personas.

De hecho, este fue uno de los motivos por los que se añadió el servicio de Google Protect, cuya misión es detectar la presencia de aplicaciones maliciosas en Google Play.

Para tener este servicio no es necesario configurar nada, ya que es la propia herramienta la que escanea el comportamiento de las aplicaciones en busca de algún problema de seguridad en el teléfono.

Algunos de los ataques detectados en los teléfonos afectados por aplicaciones que han usado los servicios de accesibilidad de forma maliciosa son:

Clickjacking

Es un tipo de ataque que produce la aparición de ventanas, pop-up o capas transparentes, dispuestas de tal forma que las personas hagan clic en ellas. Al hacerlo, son redirigidas a páginas web fraudulentas que solicitan datos bancarios o privados que, eventualmente, serán usados de manera maliciosa.

En algunos casos, incluso, se puede llegar a replicar la página web del banco o de otra institución para engañar al usuario y hacer que este introduzca sus credenciales en ella.

Cloak and Dagger

También conocido como Ataque a capa y espada. Utiliza directamente  los servicios de accesibilidad y permite a los criminales crear una interfaz invisible que se superpone a la interfaz del móvil.

Esto produce que cualquier pulsación o número que escribamos en el teclado virtual sea capturado por terceras personas que podrán conocer nuestras contraseñas y claves para todo tipo de servicios. Algo que, en estos términos, se considera una de las peores brechas de seguridad que puede tener un móvil.

Troyanos bancarios

Están enfocados estrictamente en el fraude bancario y generan una superposición parecida a la de Clickjacking y Cloack and Dagger.

En muchos casos, es una réplica de una web o aplicación original de banco que nos invita a introducir nuestras credenciales bancarias o a pinchar en determinados enlaces. Si lo hacemos, captura nuestras contraseñas y los atacantes pueden tomar el control de nuestra tarjeta o cuenta bancaria.

Este tipo de ataques se programan, por lo general, en aplicaciones que piden acceso a los servicios de accesibilidad. Esto con el objetivo de saltarse algunas directrices de seguridad que, en este tipo de circunstancias, se suavizan un poco para facilitar el acceso a personas discapacitadas.

El caso de Ginp

Ginp es un troyano bancario que ha dado muchos dolores de cabeza a nivel mundial y también en España. Fue descubierto hace un par de años y entre 2019 y 2020 llegó a nuestro país produciendo una oleada de ataques bastante sofisticados.

Tenía la capacidad de replicar la apariencia de otras aplicaciones legales de bancos españoles, haciendo que las personas introduzcan todo tipo de datos e información privada. Una vez con los datos de tarjetas y credenciales bancarias, enviaba la información a los criminales que podían usar estos datos para cualquier actividad ilícita.

El hecho de que Ginp haya dado tantos problemas en España tiene que ver con  la alta penetración que tienen aquí las aplicaciones móviles. Especialmente, las que nos permiten acceder a nuestros respectivos bancos.

Los casos como el de Ginp no se producen únicamente por el uso de aplicaciones fraudulentas que piden permiso para utilizar los servicios de accesibilidad. También pueden ocurrir con el envío de SMS aparentemente relevantes que nos envían a páginas o plataformas fraudulentas en donde se nos pide información privada.

¿Qué ha hecho Google para limitar los servicios de accesibilidad?

En el año 2017, Google emitió un comunicado en donde avisaba que limitaría el permiso a los servicios de accesibilidad a todas las aplicaciones que no tuvieran como objetivo ayudar a personas con alguna discapacidad.

La nota fue enviada por correo electrónico a todos los desarrolladores de apps que estaban usando esta función. Algo que podemos constatar en medios especializados como XDA developers.

Estas restricciones se impusieron después de que varias aplicaciones tuvieran un comportamiento malicioso. Generándose una oleada de ataques que afectaban a personas en distintos países.

Google acaba con las aplicaciones para grabar llamadas

Aunque la lucha de Google contra las aplicaciones que se aprovechan de los servicios de accesibilidad lleva años, esto no ha eliminado todas las amenazas.

Es por eso que la compañía ha aumentado las limitaciones a algunas aplicaciones de terceros. Algo que ahora afecta a todas aquellas que permiten grabar llamadas telefónicas.

El motivo es bastante simple. Todas ellas utilizan los servicios de accesibilidad para poder grabar audio en el teléfono. Una función que no otorga ninguna facilidad a personas discapacitadas y con la cual algunas aplicaciones se estarían, incluso, lucrando.

Hay una excepción

La única excepción que haría Google sería en favor de las aplicaciones nativas, introducidas por los propios fabricantes de teléfonos. Algo que tiene sentido, considerando que estos pueden garantizar las medidas de seguridad para que el terminal no se transforme en una puerta trasera para delincuentes y estafadores. El aviso fue dado por la propia compañía en un seminario web para desarrolladores.

También podemos leer un comunicado en la página de soporte de Google en donde se resalta el hecho de que la API de accesibilidad no se ha diseñado para grabar audio de las llamadas remotas y no se puede solicitar con ese fin.

La fecha indicada para el inicio de la criba es el día 11 de mayo. Momento en donde todas las aplicaciones de terceros que pidan acceso para cualquier cosa que no sea ayudar a personas con alguna limitación o discapacidad, desaparecerán.

Algo que deja claro el futuro que les espera a las apps que permiten grabar llamadas y que no sean ofrecidas por los propios fabricantes de teléfonos inteligentes.

Foto de Firmbee.com en Unsplash