Si cualquiera supiera todas las apps que tienes en tu teléfono

 (peabee.substack.com)
2 puntos por GN⁺ 2025-03-30 | Aún no hay comentarios. | Compartir por WhatsApp
  • Hasta hace unos años, las apps de Android podían ver la lista completa de apps instaladas sin permiso del usuario
  • Desde Android 11 (aplicado a partir de 2022), Google introdujo la política de visibilidad de paquetes, que restringe a los desarrolladores el acceso a la lista de apps instaladas
  • Como excepción, las apps cuya función principal lo justifica, como administradores de archivos, navegadores o antivirus, pueden solicitar el permiso QUERY_ALL_PACKAGES para ver la lista completa de apps
  • Los desarrolladores deben especificar en AndroidManifest.xml la lista de apps que desean consultar

Cómo usan las apps de India la lista de apps instaladas

  • El autor del texto instaló varias apps de India en un teléfono Android secundario y analizó los archivos AndroidManifest.xml
  • La mayoría de las apps solo revisan otras apps razonables para cumplir su función, como apps de pago UPI
  • Sin embargo, algunas apps enumeran una cantidad muy grande de apps y recopilan información en exceso

La lista de consulta de apps de Swiggy

  • Swiggy especifica nada menos que 154 nombres de paquetes de apps
  • Incluye apps no relacionadas con reparto de comida, como Xbox, Playstation, Naukri y Upstox
  • Es muy probable que esto tenga como objetivo perfilar usuarios con base en datos de comportamiento del cliente
  • Según la política de Google, la lista de apps instaladas se clasifica como dato personal sensible

La lista de consulta de apps de Zepto

  • Zepto especifica aún más apps que Swiggy: 165
  • Incluye apps populares de casi todas las categorías, como Netflix, Bumble y Binance
  • Se sabe que Zepto muestra precios distintos a usuarios de iOS y Android
  • Con esta información también podría mostrar precios diferenciados entre usuarios de dispositivos Android

Consulta de apps en apps para repartidores

  • Las apps para repartidores de Swiggy y Zepto también consultan listas de apps por separado
  • Zepto se limita más o menos a comprobar apps de repartidores de la competencia
  • Swiggy va más allá y consulta apps de finanzas personales, apps de préstamos e incluso juegos como Ludo King
  • Es un nivel de recolección de información que llega a vigilar incluso las actividades de ocio de los repartidores

Consulta excesiva de apps en apps de préstamos

  • Kreditbee (más de 50 millones de descargas): revisa 860 apps
  • Moneyview (más de 50 millones de descargas): revisa 944 apps (la lista completa está en este enlace de GitHub)
  • Incluye apps de calendario, astrología, religión, servicios matrimoniales, agricultura y más aspectos de la vida cotidiana
  • Usan el método de enumerar apps una por una para evadir la política de Google que prohíbe QUERY_ALL_PACKAGES

El uso excepcional de permisos por parte de Cred

  • Cred es la única que usa el permiso QUERY_ALL_PACKAGES
  • Google lo permite temporalmente cuando la función principal es realizar transacciones financieras
  • Sin embargo, otras apps financieras como PhonePe y Paytm no usan este permiso
  • Como Cred también ofrece servicios de préstamos, podría estar infringiendo la política

Método para evadir restricciones usando el filtro "ACTION_MAIN"

  • Algunas apps pueden identificar todas las apps con interfaz gráfica usando el filtro de intent ACTION_MAIN
  • Este método permite inferir la lista de apps instaladas sin el permiso QUERY_ALL_PACKAGES
  • En una prueba con una app creada para experimentar, fue posible obtener la lista completa de apps de esta manera
  • Play Store debería bloquear esto, pero en la práctica la supervisión es laxa

Lista de apps que usan el filtro

  • Apps que usan filtros para comprobar apps instaladas:

    • Astrotalk, Axis Mobile, Bajaj Finserv, BookMyShow, Cars24, Cure.fit, Fibe, Groww, Housing, Instamart, Ixigo, JioHotstar, KreditBee, KukuTV, LazyPay, Ludo King, Meesho, MoneyTap, Moneyview, Navi, NoBroker, Nykaa, Ola, PhonePe, PhysicsWallah, Slice, Spinny, Swiggy, Swiggy Delivery, Tata Neu, Zomato

  • Apps que no usan el filtro:

    • Airtel Thanks, Blinkit, Byju’s, MyGate, Dream11, Flipkart, HDFC Mobile, Healthify, INDmoney, MyJio, Paytm, PaisaBazaar, ShareChat, Unacademy, Vedantu, Zepto

  • Swiggy usa tanto el filtro como la enumeración directa (lo que paradójicamente hace más transparente su forma de recopilar datos)

Incluso entre apps globales varía el uso del filtro

  • Usan el filtro: Facebook, Instagram, Snapchat, Subway Surfers, Truecaller
  • No usan el filtro: Amazon, Spotify, X(Twitter), Discord, WhatsApp

Qué tan sensibles son los datos sobre apps instaladas

  • En 2022, Vice informó sobre casos en los que brokers de datos en EE. UU. comerciaban información sobre la instalación de apps de seguimiento del ciclo menstrual
  • Así, la lista de apps instaladas puede revelar información sensible sobre creencias personales, salud, situación financiera y más

Caso de uso del permiso SMS por parte de Zepto

  • Zepto solicita el permiso READ_SMS
  • Es obligatorio para usar la función Zepto Postpaid y, en la práctica, puede leer SMS incluso si el usuario no lo elige explícitamente
  • Incluso mensajes de Blinkit, Swiggy y Flipkart pueden entrar en el análisis

Conclusión

  • La mayoría de las apps funcionan dentro de lo normal sin pedir permisos excesivos
  • Sin embargo, algunas recopilan datos sobre las apps instaladas del usuario mediante técnicas de evasión y listas excesivas de paquetes
  • Los usuarios deben saber que esta información puede quedar expuesta con facilidad al instalar una app
  • Al final, estos datos pueden venderse a través de brokers de datos y usarse después para discriminación de precios o segmentación publicitaria

Lecturas relacionadas

Aún no hay comentarios.

Aún no hay comentarios.