Fecha
Fuente
IMDEA Networks

Una investigación revela la obtención de datos masivos en teléfonos Android a través de las apps preinstaladas

Un estudio español analiza el software preinstalado en dispositivos de Google y los riesgos para la privacidad de los usuarios

La Universidad Carlos III de Madrid (UC3M) y el Instituto IMDEA Networks, en colaboración con el International Computer Science Institute (ICSI) en Berkeley (EEUU) y Stony Brook University de Nueva York (EEUU), han realizado un estudio que abarca más de 82.000 apps preinstaladas en más de 1.700 dispositivos fabricados por 214 marcas.

Del estudio se desprende, por un lado, que el modelo de permisos del sistema operativo Android y sus apps permite que un gran número de actores puedan monitorizar y obtener información personal de los usuarios a nivel del sistema operativo y, por otro, que el usuario final desconoce la presencia de estos actores en sus terminales Android y las implicaciones que dichas prácticas tienen sobre su privacidad. Además, la presencia de este software con privilegios de sistema dificulta su eliminación sin ser un usuario experto.

Estos resultados se detallan en un artículo que se hará público el 1 de abril y se presentará en una de las principales conferencias de ciberseguridad y privacidad del mundo, el 41st IEEE Symposium on Security and Privacy de California (EEUU) con el título An Analysis of Pre-installed Android Software. La Agencia Española de Protección de Datos (AEPD), que ha contribuido a la difusión del estudio por el impacto masivo de los resultados en la privacidad de los ciudadanos, presentará los resultados ante el Comité Europeo de Protección de Datos.

Otros hallazgos

Aparte de los permisos estándar definidos en Android y que pueden ser controlados por el usuario, los investigadores han identificado más de 4.845 permisos propietarios o personalizados por los intervinientes en la fabricación y distribución de los terminales. Este tipo de permisos permite que apps publicadas en Google Play puedan eludir el modelo de permisos de Android para acceder a datos del usuario sin requerir su consentimiento al instalar una nueva app.

En cuanto a las apps preinstaladas en los dispositivos, se han identificado más de 1.200 desarrolladores tras el software preinstalado, así como la presencia de más de 11.000 librerías de terceros (SDKs) incluidas en la mismas. Una parte significativa de las librerías están relacionadas con servicios de publicidad y monitorización online con fines comerciales. Estas apps preinstaladas se ejecutan con permisos privilegiados y sin posibilidad, en la mayoría de los casos, de ser desinstaladas del sistema. Un análisis exhaustivo del comportamiento del 50% de las apps identificadas revela que muchas de ellas presentan comportamientos potencialmente peligrosos o no deseados.

En relación con la información ofrecida al iniciar un nuevo terminal, se pone de manifiesto un déficit de transparencia de las apps y del propio sistema operativo Android al mostrar al usuario una relación de permisos distinta de la real, limitando su capacidad de decisión para gestionar su información personal.

Actuaciones de la AEPD

De acuerdo con una nota de prensa de la AEPD, la Agencia va a presentar este estudio y sus conclusiones en los subgrupos de trabajo del Comité Europeo de Protección de Datos (CEPD), organismo de la Unión Europea del que forma parte junto a otras autoridades europeas de protección de datos y el Supervisor Europeo. El CEPD tiene entre sus funciones promover la cooperación entre las autoridades de protección de datos.

La Agencia incluye en el eje 2 de su Plan estratégico (Innovación y protección de datos) el establecimiento de canales de colaboración con grupos de investigación, la industria y los desarrolladores con el objetivo de fomentar la confianza en la economía digital en línea con lo previsto en el Reglamento General de Protección de Datos (RGPD). Según la AEPD, este estudio contribuye a facilitar que fabricantes, desarrolladores y distribuidores de productos y servicios apliquen los principios de Privacidad por Defecto y desde el Diseño establecidos en el RGPD con el objeto de salvaguardar los derechos y libertades de las personas. La difusión del estudio realizado por IMDEA Networks y la UC3M forma parte de esas acciones, sin perjuicio de las posibles acciones que pudieran derivarse de los poderes y el marco de coherencia que establece el RGPD.

 


 

Fuentes Adicionales:

Versión preliminar del estudio disponible en este enlace:

An Analysis of Pre-installed Android Software

Julien Gamba, Mohammed Rashed, Abbas Razaghpanah, Juan Tapiador, Narseo Vallina-Rodriguez https://haystack.mobi/papers/preinstalledAndroidSW_preprint.pdf

To appear in the 41st IEEE Symposium on Security and Privacy (IEEE S&P 2020)

Fuente(s): IMDEA Networks Institute; Universidad Carlos III de Madrid (UC3M)

Añadir nuevo comentario

El contenido de este campo se mantiene privado y no se mostrará públicamente.
Para el envío de comentarios, Ud. deberá rellenar todos los campos solicitados. Así mismo, le informamos que su nombre aparecerá publicado junto con su comentario, por lo que en caso que no quiera que se publique, le sugerimos introduzca un alias.

Normas de uso:

  • Las opiniones vertidas serán responsabilidad de su autor y en ningún caso de www.madrimasd.org,
  • No se admitirán comentarios contrarios a las leyes españolas o buen uso.
  • El administrador podrá eliminar comentarios no apropiados, intentando respetar siempre el derecho a la libertad de expresión.
CAPTCHA
Enter the characters shown in the image.
Esta pregunta es para probar si usted es un visitante humano o no y para evitar envíos automáticos de spam.