El fondo de pantalla que usas en tu móvil Android puede poner tu privacidad en riesgo
Un grupo de investigadores ha descubierto que el fondo de pantalla que usas en tu móvil puede ser usado por las apps para rastrearte.
A estas alturas ya nos hemos acostumbrado a ver cómo, de vez en cuando, surgen amenazas dirigidas a los usuarios de dispositivos Android, que aprovechan elementos como aplicaciones malintencionadas, mensajes de texto o páginas web para infectar los smartphones y las tablets de las víctimas.
Lo que no es tan común, es ver cómo un aspecto básico del sistema operativo más usado del mundo puede suponer un riesgo para la privacidad de los usuarios. Y precisamente eso es lo que ha ocurrido en esta ocasión.
La firma especializada en ciberseguridad FingerprintJS ha avisado de una vulnerabilidad descubierta en Android, que permitiría a aplicaciones con no muy buenas intenciones rastrear a los usuarios a través de un identificador único, obtenido gracias al fondo de pantalla usado en el dispositivo.
Así pueden usar las apps el fondo de pantalla para rastrearte
En el informe, el investigador especializado en Android Alexey Verkhovsky se centra en el nuevo motor de temas automáticos introducido en Android 12, capaz de generar una paleta de colores en base al fondo de pantalla establecido por el usuario.
Explica que, si bien este sistema abre la puerta a una personalización mucho más profunda y personal del sistema operativo, también puede conllevar cierto riesgo para la privacidad.
Para demostrarlo, Verkhovsky utiliza la API WallpaperManager. introducida en la API número 5 de Android, correspondiente a Android 2.0.
Mediante este método, y sin entrar en términos demasiado técnicos, las aplicaciones pueden obtener la imagen de fondo de pantalla utilizada en el dispositivo mediante su sector de memoria consecutivo --o byte array--. Teniendo en cuenta que un buen número de personas utilizan imágenes personales como wallpaper, el hecho de que las aplicaciones tengan acceso a ellas puede conllevar cierto riesgo.
Ahora bien: únicamente los usuarios de dispositivos con versiones de Android anteriores a Android 8.1 deberían preocuparse por esta "vulnerabilidad", pues a partir de dicha versión, el método getDrawable() que permite obtener el fondo de pantalla requiere de privilegios para acceder a la memoria interna del dispositivo.
Aunque para compensar por esta limitación introducida, en Android 8.1 también se introdujo el método getWallpaperColors, que permite obtener los tres colores principales del fondo de pantalla utilizado actualmente.
Un ejemplo de extracción de color usando el método getWallpaperColors.
Los investigadores han sido capaces de determinar cómo funciona este método para extraer los colores gracias al código fuente de Android, confirmando que, básicamente, es posible obtener cualquier combinación de colores dentro del espectro RGB.
Realizando los cálculos necesarios para obtener el código de color de la paleta de colores del fondo de pantalla, es posible generar un identificador único de usuario en base a la combinación de dichos códigos.
De una imagen de fondo de pantalla tenemos 72 bits y 144 bits utilizando el fondo de pantalla del sistema y el fondo de pantalla de bloqueo --144 bits y 2¹⁴⁴ combinaciones--. Cuantas más combinaciones sean posibles, mayor será la probabilidad de generar un valor único apto para ser utilizado como ID. Y por lo tanto, es probable que puedas ser rastreado fácilmente.
Desde FingerprintJS incluso han querido llevar a la práctica los resultados, y para ello se ha desarrollado una aplicación gratuita y de código abierto, disponible para ser descargada en Google Play, capaz de generar nuestro identificador único de usuario en base al fondo de pantalla utilizado en el dispositivo.
Resulta poco probable que las aplicaciones vayan a comenzar a utilizar esta técnica para rastrear a los usuarios --sobre todo, porque existen métodos más efectivos--, pero no deja de resultar curioso cómo un gesto tan simple como usar una imagen de fondo de pantalla propia puede servir para rastrear a los usuarios, usando elementos del propio sistema operativo y sin necesidad de contar con privilegios avanzados.
En cualquier caso, los investigadores recomiendan no usar fondos de pantalla que contengan información personal en los dispositivos, sobre todo en aquellos que cuenten con una versión de Android anterior a Android 8.1. De hecho, afirman que lo más inteligente es mantener el fondo de pantalla por defecto del sistema, pues esto dificulta el proceso a la hora de distinguir tu dispositivo del de otros usuarios.
Puedes seguir a Andro4all en Facebook, WhatsApp, Twitter (X) o consultar nuestro canal de Telegram para estar al día con las últimas noticias de tecnología.