Google no ha sido transparente con el problema, anunciando la brecha sólo a última hora, como consecuencia de la publicación de un informe por parte de The Wall Street Journal. Ello les ha llevado a contar la cronología del problema y cómo fue descubierto. Con una auditoría interna conocida como Project Strobe pretendía medir la fiabilidad del funcionamiento de las APIs con terceros y los permisos de estos con ellas.
El proceso interno destapó la vulnerabilidad de Google+, y más allá del cierre de la plataforma que llegó para suceder a Google Reader, que es la gran noticia, lo interesante es cómo el descubrimiento afectará positivamente, según la propia Google, a millones de usuarios de Android y de sus servicios.
Uno de los problemas clásicos de Android como sistema operativo ha sido la gestión de los permisos de aplicaciones de terceros, es decir, cómo se controlaba la información a la que éstas podían acceder. Durante años, la capacidad de control por parte del usuario fue nula. Una aplicación de linterna podía, sin justificación alguna, acceder al registro de llamadas, a los contactos, a los mensajes y al propio teléfono.
Es decir, no sólo se trata de la ingente cantidad de datos que el sistema suministraba libremente, sino que la aplicación recibía permiso incluso para hacer llamadas o enviar mensajes en nuestro nombre. Por suerte, pocas aplicaciones llegaban a realizar esos usos de la capacidad otorgado.
Cualquier aplicación podía, por ejemplo, acceder a información personal de Gmail, algo realmente preocupante. Google solucionó parcialmente el problema en 2015 con permisos más visibles y controlables por el usuario bajo Android 6.0 Marshmallow, pero eso no ha frenado el mal hacer de muchos desarrolladores. Gracias a lo aprendido con Project Strobe, Google dará aún más control al usuario, pero lo más relevante es que frenará la posibilidad de que las aplicaciones pidan permisos de datos que no les incumben en su actividad.
En primer lugar, tras afirmar percibir que los usuarios quieren más control de sus datos, lanzarán permisos más controlables cuando una aplicación solicite acceso a datos de la cuenta de Google. En lugar de simplemente preguntar por la posibilidad de acceder a los datos, como hasta ahora, las aplicaciones tendrán que mostrar a qué información concreta quieren acceder, diferenciando por ejemplo entre la información contenida en Google Calendar de los archivos alojados en Drive.
En segundo lugar, los datos de Gmail sólo será accesibles por aplicaciones verdaderamente relacionadas con el servicio, es decir, clientes de correo electrónico, aplicaciones de productividad y servicios de copia de seguridad.
Por último, limitarán la capacidad de las aplicaciones de acceder a los registros de llamadas y permisos de SMS, tras percibir que muchas aplicaciones lo piden sin sentido. Realmente no se puede entender que esto sea un descubrimiento de Project Strobe, porque es algo que ha sido denunciado por usuarios y medios desde que Android existe.
Es innegable que cuando todas las soluciones que Google ha mostrado a los problemas encontrados lleguen a manos del usuario, la conclusión sólo podrá ser que ha salido ganando sin en principio haber perdido nada. Sin embargo, un análisis ligeramente más profundo no puede olvidar que todo ha sido fruto de una vulnerabilidad que ha expuesto los datos de miles de usuarios. Y más allá de eso, que Google no se ha preocupado por comunicarlo y por actuar como debe con sus usuarios, teniendo en cuenta que lo que estaba en juego, sus datos, son el bien más preciado de ambas partes, y si en algún momento la privacidad ha peligrado, debe hacerse público.
Quizá, tras todo lo acontecido últimamente con Facebook, demandar más a Google en este sentido sea pecar de ingenuidad, pero en ningún caso el usuario puede conformarse con el hecho de que el problema sólo ha salido a la luz cuando el Wall Street Journal ha informa de ello o, yendo más allá, con que no se haya desvelado por no tener que pasar por un escrutinio regulatorio.
Fuente: Google.
