Archivo de marzo, 2019

Un estudio analiza el software preinstalado en dispositivos Android y los riesgos para la privacidad de los usuarios

La Universidad Carlos III de Madrid (UC3M) y el Instituto IMDEA Networks, en colaboración con el International Computer Science Institute (ICSI) en Berkeley (EEUU) y Stony Brook University de Nueva York (EEUU), han realizado un estudio que abarca más de 82.000 apps preinstaladas en más de 1.700 dispositivos fabricados por 214 marcas. La investigación revela la existencia de un complejo ecosistema de fabricantes, operadores móviles, desarrolladores y proveedores de servicios, además de organizaciones especializadas en la monitorización y rastreo de usuarios y en proporcionar publicidad en Internet. Muchas de las apps preinstaladas facilitan el acceso privilegiado a datos y recursos del sistema sin posibilidad de que un usuario medio pueda desinstalarlas.

Del estudio se desprende, por un lado, que el modelo de permisos del sistema operativo Android y sus apps permite que un gran número de actores puedan monitorizar y obtener información personal de los usuarios a nivel del sistema operativo y, por otro, que el usuario final desconoce la presencia de estos actores en sus terminales Android y las implicaciones que dichas prácticas tienen sobre su privacidad. Además, la presencia de este software con privilegios de sistema dificulta su eliminación sin ser un usuario experto.

Estos resultados se detallan en un artículo que se hará público el 1 de abril y se presentará en una de las principales conferencias de ciberseguridad y privacidad del mundo, el 41st IEEE Symposium on Security and Privacy de California (EEUU) con el título An Analysis of Pre-installed Android Software. La Agencia Española de Protección de Datos (AEPD), que ha contribuido a la difusión del estudio por el impacto masivo de los resultados en la privacidad de los ciudadanos, presentará los resultados ante el Comité Europeo de Protección de Datos.

Otros hallazgos

Aparte de los permisos estándar definidos en Android y que pueden ser controlados por el usuario, los investigadores han identificado más de 4.845 permisos propietarios o personalizados por los intervinientes en la fabricación y distribución de los terminales. Este tipo de permisos permite que apps publicadas en Google Play puedan eludir el modelo de permisos de Android para acceder a datos del usuario sin requerir su consentimiento al instalar una nueva app.

En cuanto a las apps preinstaladas en los dispositivos, se han identificado más de 1.200 desarrolladores tras el software preinstalado, así como la presencia de más de 11.000 librerías de terceros (SDKs) incluidas en la mismas. Una parte significativa de las librerías están relacionadas con servicios de publicidad y monitorización online con fines comerciales. Estas apps preinstaladas se ejecutan con permisos privilegiados y sin posibilidad, en la mayoría de los casos, de ser desinstaladas del sistema. Un análisis exhaustivo del comportamiento del 50% de las apps identificadas revela que muchas de ellas presentan comportamientos potencialmente peligrosos o no deseados.

En relación con la información ofrecida al iniciar un nuevo terminal, se pone de manifiesto un déficit de transparencia de las apps y del propio sistema operativo Android al mostrar al usuario una relación de permisos distinta de la real, limitando su capacidad de decisión para gestionar su información personal.

Actuaciones de la AEPD

De acuerdo con una nota de prensa de la AEPD, la Agencia va a presentar este estudio y sus conclusiones en los subgrupos de trabajo del Comité Europeo de Protección de Datos (CEPD), organismo de la Unión Europea del que forma parte junto a otras autoridades europeas de protección de datos y el Supervisor Europeo. El CEPD tiene entre sus funciones promover la cooperación entre las autoridades de protección de datos.

La Agencia incluye en el eje 2 de su Plan estratégico (Innovación y protección de datos) el establecimiento de canales de colaboración con grupos de investigación, la industria y los desarrolladores con el objetivo de fomentar la confianza en la economía digital en línea con lo previsto en el Reglamento General de Protección de Datos (RGPD). Según la AEPD, este estudio contribuye a facilitar que fabricantes, desarrolladores y distribuidores de productos y servicios apliquen los principios de Privacidad por Defecto y desde el Diseño establecidos en el RGPD con el objeto de salvaguardar los derechos y libertades de las personas. La difusión del estudio realizado por IMDEA Networks y la UC3M forma parte de esas acciones, sin perjuicio de las posibles acciones que pudieran derivarse de los poderes y el marco de coherencia que establece el RGPD.

Fuentes Adicionales:

Versión preliminar del estudio disponible en este enlace:

An Analysis of Pre-installed Android Software
Julien Gamba, Mohammed Rashed, Abbas Razaghpanah, Juan Tapiador, Narseo Vallina-Rodriguez
https://haystack.mobi/papers/preinstalledAndroidSW_preprint.pdf
To appear in the 41st IEEE Symposium on Security and Privacy (IEEE S&P 2020)

Etiquetas:
Categorias: General

“El ambiente de trabajo en IMDEA Networks fue la clave de mi éxito”

Por qué, qué, cómo y dónde: un exalumno evalua su experiencia como doctorando

Entrevistamos a uno de los miembros de nuestra red de alumni, el Dr. Roderick Fanou, durante su reciente visita a IMDEA Networks. Roderick obtuvo su doctorado de IMDEA Networks y la Universidad Carlos III de Madrid en diciembre de 2017. Ahora trabaja como investigador postdoctoral en el Centro de Supercomputación de San Diego, CAIDA, Universidad de California San Diego (EE.UU.).

¿Por qué decidiste hacer un doctorado?

En primer lugar, me gustaría agradecer la oportunidad que se me brinda para dar mis impresiones sobre mi experiencia en IMDEA Networks.

Decidí hacer un doctorado en ingeniería telemática porque sentía curiosidad por el funcionamiento real de Internet y los motivos por los que la calidad del mismo era muy baja en mi país (Benín, África occidental) y en los países vecinos. Además, en mi ciudad natal asistía a una clase en la universidad donde se insistía en la necesidad de investigar más sobre el funcionamiento de internet en África, para poder averiguar las razones de sus debilidades y sugerir a los responsables de la toma de decisiones medidas adecuadas y necesarias para mejorar la calidad de servicio. Disfruté mucho de esta clase impartida por Pierre François (en aquel momento profesor asistente de investigación en IMDEA Networks), y me interesó mucho trabajar con él. Estas son las razones por las que presenté mi candidatura para hacer un doctorado en IMDEA Networks.

¿Qué destacarías de tu tiempo como estudiante de doctorado en IMDEA Networks?

Mi experiencia fue muy positiva. El ambiente de trabajo fue la clave de mi éxito. Quiero destacar el hecho de que tuviera la oportunidad de trabajar con excelentes investigadores y profesores de alto nivel, y seguir sus consejos para lograr publicaciones de gran calidad y alcanzar mis objetivos. Durante 5 años investigamos juntos sobre internet en África y buscamos maneras de que nuestro trabajo llegase a tener aplicación práctica en regiones en desarrollo. También pude asistir a charlas y seminarios que abarcaron un amplio espectro de áreas e intereses de investigación, lo que realmente me abrió el camino a una carrera académica.

¿Crees que el tiempo que has pasado en IMDEA Networks te ha preparado adecuadamente para tu carrera profesional?

Sí, creo que mi estancia en IMDEA Networks me preparó bien para mi carrera profesional porque durante cinco años pude trabajar en colaboración con la industria, pero también con investigadores de renombre. Pude ser testigo de cómo los investigadores y la industria interactúan entre sí y su impacto en la red, así como observar cuáles son las diferencias entre ellos. Así que al final de mi programa de doctorado estaba listo no solo para decantarme por la industria sino también por el sector académico. Tuve la opción de elegir.

¿Te has incorporado a la industria, al sector académico o a la investigación?

Después de mucha consideración, he decidido hacer un postdoctorado, o sea, me he inclinado por el mundo académico. Así que ahora estoy trabajando en el Centro para el Análisis Aplicado de Datos de Internet (CAIDA*, por sus siglas en inglés) en UCSD (Universidad de San Diego, California), junto con investigadores clave en su campo y bajo la supervisión de Amogh Dhamdhere y K.C. Claffy En verdad tomé esta decisión para ampliar el alcance de mi investigación y tener más impacto.

Mis actividades de investigación, a partir de ahora, consisten en colaborar en el desarrollo de nuevas aplicaciones para la integración de las bases de código existentes, en el contexto del proyecto PANDA** de CAIDA. Por ejemplo, acabamos de lanzar un servicio web MANIC*** que es una herramienta (destinada no solo a investigadores) que permite acceder a dos años y medio de datos relacionados con la congestión y el rendimiento en internet.

* Center for Applied Internet Data Analysis
** Integrated Platform for Applied Network Data Analysis
*** Measurement and Analysis of Internet Congestion

Etiquetas:
Categorias: General

Investigador de IMDEA Networks primero del Hub T3chFest – La Nave (España) de la competición Hash Code de Google

Un segundo equipo de IMDEA Networks obtiene la tercera plaza en ese hub

Un equipo de investigadores pre-doctorales de IMDEA Networks ha logrado el primer y tercer puesto en el ‘hub’ o sede ‘T3chFest – La Nave (España)’ dentro de la competición mundial Hash Code de Google.

La competición Hash Code organizada la semana pasada por Google está orientada a estudiantes y profesionales de la industria IT, que compitieron en equipos con el objetivo de resolver un desafío de ingeniería por medio de la programación. El evento se convocó a nivel mundial y estuvo abierto a participantes de Europa, Estados Unidos, Oriente Medio y África.

La Nave de Madrid fue una de los más de 720 hubs en 97 países elegidos para ser parte de este evento internacional. El congreso T3chFest sobre informática y nuevas tecnologías que organizan anualmente estudiantes y antiguos alumnos de la Universidad Carlos III de Madrid fue responsable de este hub.

El equipo de IMDEA Networks participó desde el hub de “La Nave de Madrid” gestionado por T3chFest, así como de forma remota desde los Estados Unidos. A todos los equipos se les dio el mismo problema de optimización y cuatro horas para implementar una solución y subirla en un sistema de evaluación. Cuanto más se acercó la solución propuesta a la solución óptima definida por Google, más alto fue el puntaje del equipo.

El estudiante de doctorado de IMDEA Networks, Joan Palacios, quien se conectó como parte del equipo “Baby Sharks” desde la Universidad de Austin Texas (EE. UU.) donde actualmente se encuentra realizando una estancia, se alzó con el primer puesto del hub T3chFest – La Nave (España). Roberto Calvo y Noelia Pérez, también estudiantes de doctorado, junto con el ingeniero de investigación Héctor Cordobés, lograron el tercer lugar. Toda una hazaña para todos ellos al tratarse de una prueba extremadamente competitiva.

Imagen 1 (superior, de izqda. a drcha..): (1ª fila) Roberto Calvo-Palomino, Noelia Pérez, Ander Galisteo, Guillermo Bielsa, Alejandro Blanco, Dolores Garcia Marti, (2ª fila) Héctor Cordobés.

Imagen 2: (inferior): Equipos trabajando en el hub T3chFest – La Nave (España) el pasado 28 de febrero durante la competición de programación. Los equipos se componían de entre dos y cuatro personas.

Etiquetas:
Categorias: General