Clicky

Los riesgos de privacidad del software preinstalado en dispositivos Android

privacidad Android

Muchas aplicaciones preinstaladas facilitan el acceso a datos y recursos privilegiados, sin que el usuario promedio sea consciente de su presencia o no pueda desinstalarlos

Por un lado, el modelo de permisos en el sistema operativo Android y sus aplicaciones permiten a un gran número de actores rastrear y obtener información personal del usuario. Al mismo tiempo, revela que el usuario final no está al tanto de estos actores en los terminales de Android o de las implicaciones que esta práctica podría tener en su privacidad. Además, la presencia en el sistema de este software privilegiado hace que sea difícil eliminarlo si uno no es un usuario experto.

 

Estos son los resultados de un estudio realizado por la Universidad Carlos III de Madrid (UC3M) y el Instituto IMDEA Networks, en colaboración con el Instituto Internacional de Ciencias de la Computación (ICSI) en Berkeley (EE. UU.) y la Universidad Stony Brook de Nueva York (EE. UU.).

El estudio analizó 82.000 aplicaciones preinstaladas en más de 1.700 dispositivos fabricados por 214 marcas, revelando la existencia de un complejo ecosistema de fabricantes, operadores móviles, desarrolladores de aplicaciones y proveedores, con una amplia red de relaciones entre ellos. Esto incluye organizaciones especializadas en monitoreo y seguimiento de usuarios y en proporcionar publicidad en Internet en Internet.

Estos resultados se detallan en un artículo que se hará público el 1 de abril y que se presentará en una de las principales conferencias de ciberseguridad y privacidad en todo el mundo, el 41º Simposio IEEE sobre Seguridad y Privacidad, California (EE. UU.) bajo el título "An Analysis of Pre-installed Android Software [PDF]" (Un análisis del software preinstalado en Android).

La Agencia Española de Protección de Datos (AEPD), que ha contribuido a la difusión de este estudio debido al impacto masivo de los resultados en la privacidad de los ciudadanos, presentará los resultados ante la Comisión Europea para la Protección de Datos.

Otros hallazgos

Además de los permisos estándar definidos en Android y que pueden ser controlados por el usuario, los investigadores han identificado más de 4.845 permisos de propietario o personalizados por diferentes actores en la fabricación y distribución de las terminales.

Este tipo de permisos permite que las aplicaciones anunciadas en Google Play evadan el modelo de permiso de Android para acceder a los datos de los usuarios sin requerir su consentimiento en la instalación de una nueva aplicación.

En cuanto a las aplicaciones preinstaladas en dispositivos, se identificaron 1.200 desarrolladores detrás del software preinstalado, así como la presencia de más de 11.000 bibliotecas de terceros (SDK) incluidas en el mismo. Una parte importante de las bibliotecas está relacionada con los servicios de publicidad y el seguimiento en línea con fines comerciales.

Estas aplicaciones preinstaladas se ejecutan con permiso privilegiado y sin poder, en la mayoría de los casos, ser desinstaladas del sistema. Un análisis exhaustivo del comportamiento del 50% de las aplicaciones identificadas revela que muchas de ellas muestran un comportamiento potencialmente peligroso o no deseado.

En relación con la información que se ofrece al iniciar sesión en un nuevo terminal, se pone de manifiesto la falta de transparencia de las aplicaciones y del propio sistema operativo Android, al mostrarle al usuario una lista de permisos diferentes de los reales, lo que limita la capacidad para tomar decisiones con respecto a la administración de datos personales.

Acción en curso de la AEPD

De acuerdo con un comunicado de prensa de la AEPD, esta agencia nacional presentará este estudio y sus conclusiones a los subgrupos de trabajo de la Comisión Europea para la Protección de Datos (ECDP), una entidad de la Unión Europea de la que forma parte Agencia, junto con otras autoridades europeas de protección de datos y el Supervisor Europeo. Entre las funciones de la ECDP está el fomento de la cooperación entre las agencias de protección de datos.

La Agencia incluye en el segundo eje central de su Plan Estratégico (Innovación y Protección de Datos) el establecimiento de canales de colaboración con grupos de investigación, Industria y desarrolladores, con el objetivo de fomentar la confianza en la economía digital de acuerdo con lo establecido en el Reglamento General de Protección de Datos (GDPR).

Según la Agencia Española de Protección de Datos, este estudio contribuye a permitir que los fabricantes, desarrolladores y distribuidores apliquen los principios de privacidad por defecto y diseño establecidos en el GDPR y orientados a salvaguardar los derechos y la libertad de las personas.

La difusión del estudio realizado por IMDEA Networks y UC3M forma parte de estas acciones, independientemente de las posibles acciones que puedan resultar de los poderes y el marco coherente establecido por el GDPR.

Jesus_Caceres