¿Puede una aplicación con los siguientes permisos robar datos de usuario?

Me gustaría usar una aplicación que pueda oscurecer mi pantalla (AMOLED) para que casi no consuma energía (por supuesto, mientras ejecuta una aplicación, no se puede ejecutar en segundo plano). La aplicación también tiene otras características, como el ennegrecimiento impulsado por el sensor de proximidad.

Para que la aplicación pueda proporcionar todas las funciones, se debe habilitar como un servicio de accesibilidad (por ejemplo, dichos servicios pueden bloquear el uso del botón "Recientes", etc.). Los servicios de accesibilidad pueden monitorear las interacciones de los usuarios y observar lo que escribe. Este es un riesgo de seguridad (piense en un keylogger).

Mirando el archivo de manifiesto, se requieren los siguientes permisos: RECEIVE_BOOT_COMPLETED, VIBRATE, SYSTEM_ALERT_WINDOW, BIND_ACCESSIBILITY_SERVICE, USE_FINGERPRINT, BILLING. Según tengo entendido, dado que no hay accesibilidad a la red, esta aplicación (o al menos esta versión) no puede enviar datos de usuario a ninguna parte, por lo que no puede robar nada. ¿Es esto correcto?

Cualquier otro comentario relacionado es bienvenido.

AFAIK no puede hacerlo sigilosamente , pero aún podría utilizar las intenciones proporcionadas por otras aplicaciones que tienen permisos de red, como, por ejemplo, el navegador. Si bien en teoría esto sería posible, en la práctica, nunca escuché una aplicación que hiciera eso. Además, si hay otra aplicación del mismo desarrollador presente, los datos podrían compartirse con ella.
Pero si intenta utilizar intentos, entonces notaré "algo", ¿no? ¿Puedo bloquear de alguna manera las intenciones que provienen de esa aplicación? El mismo desarrollador no tiene otras aplicaciones y mi móvil solo tiene un conjunto muy limitado de aplicaciones creadas por grandes desarrolladores conocidos como Google, Samsung, Facebook. ¿Cómo podría tener lugar exactamente este intercambio de datos?
Como escribí, no recuerdo haber oído hablar de tal caso, pero es técnicamente posible. Y si, por ejemplo, utilizaría el navegador, eso debería registrarse en el historial del navegador. Si por casualidad miras tu pantalla en ese mismo momento, deberías notarlo. Supongo que como eso podría detectarse de esa manera, casi nunca se intenta. Y como acejavelin señaló en su respuesta, podría BIND_ACCESSIBILITY_SERVICEpresentar riesgos adicionales.
Sí, pero tengo entendido que BIND_ACCESSIBILITY_SERVICEsin acceso a la red (aparte de las intenciones y otras posibilidades que discutimos antes) no se puede enviar ningún dato al trabajo externo y, por lo tanto, no se puede robar nada.
Eso es correcto. Debería haber escrito "riesgos adicionales además de eso";) Podría, por ejemplo, usarse para "controlar a distancia" otras aplicaciones y presionar sus botones.

Respuestas (1)

Sí, podría potencialmente robar sus datos...

BIND_ACCESSIBILITY_SERVICE puede ser un permiso peligroso ya que puede permitir que la aplicación vea datos en cualquier ventana activa y cualquier dato que ingrese, entre otras cosas. Puede encontrar más información aquí .

En la página de información de la aplicación que vinculó, se indica claramente cómo se usa este permiso y por qué es necesario para este tipo de aplicación (felicitaciones al desarrollador, muchas aplicaciones no explican por qué solicitan permisos peligrosos, a veces a propósito). Lo mejor que puede hacer es buscar en las reseñas posibles "problemas", lo que no parece ser el caso con esta aplicación.

Tenga en cuenta que aunque muchas aplicaciones tienen permiso para "robar" su información, las aplicaciones legítimas generalmente no lo tienen sin indicarlo claramente en sus términos y condiciones.

El resto de los permisos son en su mayoría benignos...

  • RECEIVE_BOOT_COMPLETED - Se explica por sí mismo
  • VIBRAR - Se explica por sí mismo
  • SYSTEM_ALERT_WINDOW: permite que las aplicaciones creen ventanas encima de otras aplicaciones
  • USE_FINGERPRINT: permite que la aplicación use el hardware del escáner de huellas dactilares (pero no los datos de huellas dactilares, por lo que es bastante seguro)

  • FACTURACIÓN - Permite compras dentro de la aplicación

    Fuente

No creo que el acceso a la red deba definirse implícitamente más, pero podría estar equivocado ... Tendría que estar implícito con el permiso "FACTURACIÓN", aunque no tengo referencia para eso.

Parece que el permiso de Internet está implícito allí (en el manifiesto) durante años. ¿Crees que sería suficiente bloquear el acceso a la red de la aplicación usando una aplicación de terceros? (especie de cortafuegos)
@ user1724641 Si creo que una aplicación está haciendo eso, me deshago de la aplicación, no trato de detenerla. Recuerde, aunque algunos permisos se pueden usar de manera maliciosa, las aplicaciones legítimas los usan de manera apropiada.
No creo que esta aplicación haga eso según las revisiones (puntuación y texto) y la "declaración de trabajo" del desarrollador. Sin embargo, nunca se puede sospechar lo suficiente cuando se trata de datos personales/financieros. Se deben tomar precauciones, aún mejor que perderse por completo cuando los datos bancarios de uno caen en manos de piratas informáticos. Por otro lado, también necesito la funcionalidad de 'apagar pantalla'.
@acejavelin el BILLINGpermiso NO implica permisos de red (y sí, estos últimos aún se requieren explícitamente, aunque la aplicación Playstore no los enumera por ser "normales", no hay nada como un "permiso de INTERNET implícito"). Vea su nombre completo y usted Descubriré que lo proporciona la aplicación Playstore ( …vending.BILLING), que tiene acceso a la red. // Además, se pueden encontrar más detalles sobre los permisos en mi lista de permisos , a menudo con algún contexto adicional;)
¿Puede una aplicación con los siguientes permisos robar datos de usuario?
RespuestasAquíPolítica de privacidad1y, 0v