Nos espía nuestro móvil? Parece que sí…

¿Os ha pasado alguna vez que, tras una conversación en Whatsapp, Twitter, facebook o cualquier otra red social sobre algún objeto que queréis comprar, han empezado a apareceros anuncios sobre ese objeto en particular en páginas que visitáis, en amazon, twitter o facebook?

Si vuestra respuesta es sí, y os habéis fijado en lo que parece una simple curiosidad que comentar con los amigos, en este estudio publicado por El Instituto IMDEA Networks y la Universidad Carlos III de Madrid está gran parte a la pregunta del título de esta entrada.

El estudio, que abarca más de 82.000 apps preinstaladas en más de 1.700 dispositivos Android fabricados por 214 marcas, tiene entre sus objetivos identificar los agentes presentes en el software preinstalado en Android y que utilizan el acceso privilegiado a recursos del sistema para la obtención de datos personales de usuarios; revelar los acuerdos comerciales entre vendedores de dispositivos Android y terceros, incluyendo organizaciones especializadas en la monitorización y rastreo de usuarios y en proporcionar publicidad en Internet; detectar y analizar vulnerabilidades y otras prácticas opacas y analizar la trasparencia en la información proporcionada al usuario.

De los resultados obtenidos en este estudio, pueden destacarse los siguientes conclusiones:

  • Aparte de los permisos estándar definidos en Android y bajo control del usuario, los investigadores han identificado más de 4.845 permisos propietarios o personalizados por los intervinientes en la fabricación de los terminales. Este tipo de permisos permite que apps publicadas en Google Play eludan el modelo de permisos de Android para acceder a datos del usuario sin requerir su consentimiento al instalar una nueva app.
  • En cuanto a las apps preinstaladas en los dispositivos, se han identificado más de 1.200 compañías, así como la presencia de más de 11.000 librerías de terceros (SDKs) incluidas en la mismas. Gran parte de las librerías están relacionadas con servicios de publicidad y monitorización online con fines comerciales.
  • Las apps preinstaladas se ejecutan con permisos privilegiados y sin posibilidad, en la mayoría de los casos, de ser desinstaladas del sistema.
  • Un análisis exhaustivo del comportamiento del 50% de las apps identificadas revela que una fracción importante de las mismas presenta comportamientos potencialmente maliciosos o no deseados, como muestras de malware, troyanos genéricos o software preinstalado que facilitaría prácticas fraudulentas.
  • En relación con la información ofrecida al iniciar un nuevo terminal, se pone de manifiesto un déficit de transparencia de las apps y del propio sistema operativo Android al mostrar al usuario una relación de permisos distinta de la real, limitando su capacidad de decisión para gestionar su información personal. 

En cuanto a las actuaciones, la AEPD va a presentar este estudio y sus conclusiones en los subgrupos de trabajo del Comité Europeo de Protección de Datos (CEPD), organismo de la Unión Europea del que forma parte la Agencia junto a otras autoridades europeas de protección de datos y el Supervisor Europeo. El CEPD tiene entre sus funciones promover la cooperación entre las autoridades de protección de datos. 

 La Agencia incluye en el eje 2 de su Plan estratégico (Innovación y protección de datos) el establecimiento de canales de colaboración con grupos de investigación, la industria y los desarrolladores con el objetivo de fomentar la confianza en la economía digital en línea con lo previsto en el Reglamento General de Protección de Datos (RGPD). El estudio publicado hoy contribuye a facilitar que fabricantes, desarrolladores y distribuidores de productos y servicios apliquen los principios de Privacidad por Defecto y desde el Diseño establecidos en el RGPD con el objeto de salvaguardar los derechos y libertades de las personas. La difusión del estudio realizado por IMDEA Network y la Universidad Carlos III forma parte de esas acciones, sin perjuicio de las posibles acciones que pudieran derivarse de los poderes y el marco de coherencia que establece el RGPD.

Podéis leer el estudio completo (inglés) en https://haystack.mobi/papers/preinstalledAndroidSW_preprint.pdf