Uno de los teclados más usados de Android está espiando a sus usuarios

Una de las ventajas de Android es que podemos elegir entre diversas aplicaciones de teclado. Cada fabricante suele ofrecer su propio teclado, como es el caso de LG o Samsung, mientras que Google ha mejorado su teclado Gboard a niveles prácticamente inigualables. El problema es cuando un teclado de terceros empieza a recopilar más de la cuenta, como es el caso de GO Keyboard (Teclado GO).

Teclado GO: espiando todo lo que puede de sus usuarios en Android

Esta aplicación de teclado es una de las más instaladas en Android. La app cuenta con entre 100 y 500 millones de descargas, y más de 2,6 millones de opiniones con una nota media de 4,4. Por ello, la investigación llevada a cabo por Adguard genera bastante inquietud porque podría haber una grandísima cantidad de usuarios afectados.

Teclado GO es una aplicación creada por los desarrolladores chinos GOMO Dev Team. Y aunque Google analice al dedillo la actividad de las aplicaciones, ésta al parecer estaba transmitiendo información de los usuarios a un servidor remoto, así como también estaba usando técnicas prohibidas para descargar y ejecutar código malicioso, lo cual viola la política de uso de Google Play.

Adguard descubrió esto analizando el tráfico de red que generaban los teclados de los teclados para Android más utilizados. Con la propia app de AdGuard, que permite analizar esto, la compañía descubrió que el teclado hacía conexiones muy extrañas, que usaba trackers, y que obtenía información personal.

Email, idioma, ubicación o incluso el código IMSI

Entre toda la información personal que se enviaba a los servidores de la compañía se encuentra la dirección de correo electrónico de Google (la cual puede ser usada luego para enviar spam o phising), idioma, el IMSI, ubicación, tipo de red a la que está conectado el usuario, tamaño de pantalla del móvil, versión de Android y de la build instalada, y modelo de móvil, entre otros.

Otra de las actividades prohibidas por Google es que una aplicación descargue código ejecutable desde fuera de su tienda, como archivos dex o código nativo. Teclado GO hace precisamente eso: descargar código desde sus servidores para ejecutarlo en los móviles de sus usuarios.

Con los permisos que tiene actualmente la aplicación, la compañía podría en cualquier momento hacer lo que ha hecho Steam Inventory Helper y empezar a usar todo el acceso e información que tienen con objetivos maliciosos. Así, podrían por ejemplo empezar a robar todo lo que el usuario escribe en la aplicación, incluyendo datos bancarios.

Adguard ha informado a Google de todo lo que han descubierto, y es de esperar que la compañía tome medidas al respecto. Como siempre, es recomendable mirar con lupa todos los permisos que solicita una aplicación. Si vais a descargar un teclado, una buena práctica puede ser comparar los permisos que tiene ese teclado con los que tiene la aplicación de Google, Gboard. Si comparamos Gboard con Teclado Go, vemos que la compañía china puede leer datos de registro personales, mostrar ventanas no autorizadas, o tener acceso al micrófono.

Fuente: BetaNews | adslzone