Sabes lo que compartes?

Hace bastante que me preocupa mi privacidad, siempre he sido bastante paranoico con mis contraseñas y con mis datos personales. Intentaba compartir con las grandes empresas, que nos "regalan" servicios a cambio de información sensible, lo menos posible pero...

Primero no tenía Facebook, pero me lo hice porque mis amigos insistían un huevo, y me di cuenta de que de todas formas salía en fotos que ellos compartían y preferí etiquetarlas para tener un poco de control sobre lo que subían o no. 
Pero mi Facebook no tenía mi nombre real, y lo hice con un email temporal guerrillamail. Poco a poco tuve que ir cambiando las cosas hasta que acabé poniendo mi nombre y apellidos, mi email etc. No tienen mi teléfono, pero uso Facebook en android, así que lo tienen de facto.
Android, cuando necesita un permiso especial, está obligado a declararlo, lo pide en pantalla. Pero muchas veces nosotros aceptamos sin leerlo, bien por prisa o por desinterés. A veces por que sabemos que no nos queda más remedio que instalar la aplicación, y preferimos ignorar qué permisos le estamos dando. En otros casos, porque no queda claro lo que significa exactamente cada permiso. 

A veces es evidente. Mi madre se instaló una app linterna que podía llamar, leer sus mensajes y no sé cuántas cosas más. Para mí eso debería entrar en la definición de malware. Pero hay caso peores, en los que la gente ha perdido dinero por ahorrarse un poco, como la app del monopoly gratis. Que era de todo menos gratis.

Me picó la curiosidad y me puse a investigar un poco sobre los permisos de Android. Intentaré explicar de forma sencilla los que me parecen más preocupantes.
No los aceptéis si no confiáis en la aplicación, pues en muchos casos es legítimo el uso que le dan las aplicaciones "buenas", pero tremendo lo que podrían llegar a hacer si fuesen malintencionadas.
(Puedo equivocarme, esas cosas pasan, avisad si ocurriese)

Consultar la identidad y el estado del teléfono: Permite que la aplicación acceda a las funciones de teléfono del dispositivo. La aplicación puede utilizar este permiso para descubrir identificadores de dispositivos y números de teléfono, para saber si una llamada está activa y para conocer el número remoto con el que se ha establecido conexión mediante una llamada.

En el manifiesto "READ_PHONE_STATE" Es bastante peliaguda porque, si bien permite a tu reproductor de música pausarse cuando recibes una llamada (o a un juego), también le da acceso a tu IMEI, al IMSI e incluso puede saber quién te está llamando en determinado momento. Son identificadores únicos, insisto, cuidado.

Llamar directamente a números de teléfono: Permite que la aplicación haga llamadas sin intervención del usuario, lo que puede dar lugar a llamadas o cargos inesperados. Ten en cuenta que las aplicaciones no pueden usar este servicio para realizar llamadas a números de emergencia, pero las aplicaciones malintencionadas pueden causarte gastos imprevistos al realizar llamadas sin tu confirmación.

En el manifiesto pondrías "CALL_PHONE" que permite llamar directamente a números de teléfono, pueden ser de pago. Es mejor poner la orden de forma que tengas que pulsar tú el botón de llamada, por ejemplo whatsapp te permite llamar directamente a un contacto sin pasar por el marcador, pero tienes que darle tú para verificar la acción.

Editar o borrar contenido de USB: Permite escribir en el almacenamiento USB.
Consultar el contenido del almacenamiento USB: Permite que la aplicación lea el contenido del almacenamiento USB.

Cuidado también con esta.
Las aplicaciones tienen derecho a escribir en su carpeta siempre, pero en determinadas ocasiones necesitan hacer uso de la tarjeta SD, con estos permisos la aplicación puede leer, crear y borrar archivos de tu memoria externa, pudiendo acceder a datos que no tienen por qué conocer.
WRITE_EXTERNAL_STORAGE  y READ, se declaran de manera diferente pero suelen ir unidas. Antes todas podían leer la memoria externa.

Leer tus mensajes de texto (SMS o MMS): Permite que la aplicación lea mensajes SMS almacenados en el teléfono o en la tarjeta SIM. La aplicación puede utilizar este permiso para leer todos los mensajes SMS, independientemente de cual sea su contenido o su nivel de confidencialidad.
Editar tus mensajes de texto (SMS o MMS): Permite que la aplicación escriba en mensajes SMS almacenados en el teléfono o en la memoria SIM. Las aplicaciones malintencionadas pueden borrar los mensajes.
Recibir mensajes de texto (SMS o MMS o WAP ): Permite que la aplicación reciba y procese mensajes SMS, WAP o MMS, lo que significa que podría utilizar este permiso para controlar o eliminar mensajes enviados al dispositivo sin mostrárselos al usuario.
Estos permisos los he agrupado porque tienen bastante relación. En recibir he unido los tres permisos de recepción en uno, aunque haya que declararlos por separado y tengan diferente nivel de peligrosidad (los MMS suelen ser más caros) "SEND_SMS/MMS/WAP" "RECEIBE_SMS etc."

Evidentemente el que una aplicación pueda eliminar los mensajes que recibes o que envías puede ser jodido. Sobre todo si te está enviando mensajes premium de esos de a 2€ el SMS. A parte del gasto evidente, las aplicaciones con estos permisos pueden leer tus mensajes y si tienen acceso a la red, enviárselos y hacer con ellos vudú.