GPS

Falsificación de Localización GPS en Android usando Mock Location API

Avatar Por Mid No hay comentarios

Falsificación de localización GPS en Android mediante la Mock Location API

Fecha: julio 09, 2025

Tiempo estimado de lectura: 7 minutos

Dificultad técnica: Media

Conclusiones clave

  • La Mock Location API permite inyectar ubicaciones simuladas en aplicaciones Android.
  • Las aplicaciones maliciosas pueden utilizar esta técnica para evadir restricciones geográficas.
  • Aplicaciones como Pokémon Go implementan mecanismos para detectar el spoofing de localización.
  • Se requiere acceso root para métodos de evasión avanzados y técnicas más complejas.
  • El uso responsable de estas herramientas es crucial para la ética en ciberseguridad.

Índice

¿Qué es la Mock Location API?

Desde sus primeras versiones, Android ofrece una API oficial destinada a desarrolladores que permite inyectar ubicaciones simuladas. Esta característica fue diseñada para facilitar la prueba de aplicaciones de mapas, navegación y servicios basados en localización (LBS, Location-Based Services). Al habilitar esta función, cualquier aplicación que posea los permisos correspondientes puede enviar coordenadas GPS falsas al marco del sistema.

Flujo General

  1. Activar el Modo Desarrollador: En el dispositivo Android, es necesario habilitar las Opciones de desarrollador y seleccionar una aplicación como Aplicación de ubicación simulada (Select mock location app).
  2. Uso de la API: Utilizando la clase LocationManager o FusedLocationProviderClient, la aplicación puede establecer localizaciones ficticias que reemplazan la señal GPS real del dispositivo.

Arquitectura General

El mecanismo subyacente se compone de los siguientes elementos:

  • Permiso de localización (ACCESS_FINE_LOCATION o ACCESS_COARSE_LOCATION) para recibir e inyectar datos de localización.
  • Permiso de ubicación simulada (android.permission.ACCESS_MOCK_LOCATION en dispositivos con API <= 22). Cabe mencionar que a partir de Android 6.0 (API 23), este permiso se gestiona desde el modo desarrollador.
  • Un proveedor de localización registrado como «mock» utilizando LocationManager.addTestProvider.

Ejemplo Práctico: GPS-Spoof

El repositorio GPS-Spoof se presenta como un proyecto de Android que ilustra cómo establecer coordenadas falsas. El flujo a seguir es el siguiente:

1. Configuración del Provider:
   val locationManager = getSystemService(Context.LOCATION_SERVICE) as LocationManager
   locationManager.addTestProvider(
       LocationManager.GPS_PROVIDER, 
       false, false, false, false, 
       true, true, true, 0, 5
   )
   locationManager.setTestProviderEnabled(LocationManager.GPS_PROVIDER, true)

2. Inyección de Coordenadas:
   val location = Location(LocationManager.GPS_PROVIDER)
   location.latitude = FAKE_LATITUDE
   location.longitude = FAKE_LONGITUDE
   location.altitude = 0.0
   location.accuracy = 5f
   location.time = System.currentTimeMillis()
   locationManager.setTestProviderLocation(LocationManager.GPS_PROVIDER, location)

Este fragmento de código sustituye la señal GPS con coordenadas inventadas. Es esencial que el proveedor esté habilitado como «test provider», lo que requiere privilegios de ubicación simulada.

Demo: URL del video: https://youtu.be/0zS2w1_4vzY

Limitaciones y Detección

Es importante destacar que numerosas aplicaciones de seguridad, servicios bancarios o juegos que utilizan geolocalización (como Pokémon Go) han implementado mecanismos para detectar localizaciones falsificadas. Entre las contramedidas más comunes se incluyen:

  • Verificación de la integridad del proveedor: asegurarse de que no existan proveedores «mock» activos.
  • Validación de inconsistencias: por ejemplo, si la red Wi-Fi o la dirección IP pública revelan una ubicación diferente.
  • Identificación de aplicaciones de spoofing conocidas mediante escaneo de paquetes instalados.

Una técnica habitual para eludir estas restricciones implica rootear el dispositivo o modificar el framework de Android para inyectar localizaciones a nivel del sistema (por ejemplo, utilizando módulos Xposed).

Conclusión

La manipulación de la localización GPS se presenta como una estrategia vital para auditar aplicaciones que dependen de la posición geográfica. La Mock Location API de Android proporciona un acceso documentado y sencillo, aunque se observa un incremento en las aplicaciones que incorporan controles anti-spoofing. Para métodos de evasión más avanzados, es necesario obtener acceso root y emplear herramientas como Xposed o Magisk.

Referencias

Avatar

Por Mid

Entradas relacionadas

Te has perdido

ansible

Automatiza tu primer clúster Kubernetes local con Ansible (¡sin complicaciones!)

apt

APT36 ataca infraestructuras críticas con archivos .desktop

docker-compose

Despliega tu propia suite de análisis de logs con Loki, Promtail y Grafana en Docker Compose

kubernetes

Despliega tu propio servidor de MinIO en Kubernetes: Almacenamiento S3-compat en tu VPS