Por desgracia, cada poco tiempo nos topamos con una noticia parecida. En esta ocasión, la compañía Pradeo Security (dedicada a la seguridad móvil) ha descubierto un nuevo problema que afectaría a todos los usuarios de la app Peel Smart Remote de Android, con más de 100 millones de descargas a sus espaldas.
Y es que esta aplicación habría estado enviando las fotos de sus usuarios a un servidor que no pertenece a los desarrolladores de la app, según la empresa de seguridad.
Peel Smart Remote ha estado enviando las fotos de sus usuarios a un servidor externo
Esta aplicación -que nos permite utilizar el smartphone como mando a distancia- cuenta con un extenso historial de quejas por parte de la comunidad, alegando anuncios intrusivos y superposiciones a pantalla completa, lo cual acaba lastrando la experiencia de usuario tal y como podemos leer en varias opiniones de su ficha en el Google Play.
Ahora, en la versión 10.7.3.3 de la app, se ha encontrado este agujero de seguridad con el que Peel Smart Remote obtendría las fotos almacenadas en los smartphones donde estuviese instalada, enviándolas a un servidor ajeno a Peel Technologies (la compañía detrás de esta aplicación).
Y es que al abrir la app por primera vez, ésta solicita permiso de escritura y lectura para acceder al almacenamiento externo.
Según la documentación oficial de los desarrolladores: «El almacenamiento externo es el mejor lugar para guardar los archivos que no requieren restricciones de acceso y para los archivos que se quieren compartir con otras aplicaciones o permitir que el usuario acceda con un ordenador».
De esta forma, Peel Smart Remote puede escribir en el almacenamiento externo, lo cual supondría exponer los datos de los usuarios, a la vez que podría leer el contenido almacenado: fotos, vídeos, música…
Así mismo, la app también reclama otros permisos de dudosa necesidad como el acceso a la cámara, contactos, calendario y grabar el audio del teléfono. Permisos que, como decimos, nada tienen que ver con el objetivo de la aplicación.
La nueva actualización de Peel Smart Remote ya no tiene este fallo de seguridad
Por otra parte, el pasado viernes, la app se actualizó a la versión 10.7.4.2 donde parece que este agujero ya está solucionado. No obstante, quién no tenga activada la opción para actualizar sus apps automáticamente, es posible que todavía disponga de la pasada versión donde el problema persiste.
La recomendación, por tanto, pasa por actualizar la aplicación a la última versión disponible, o bien desinstalarla completamente del dispositivo.
Por el momento, los portavoces de Peel Smart Remote no se han pronunciado al respecto sobre este asunto.
Tienes más información, capturas del código, permisos y más en este artículo (en inglés).