Un estudio independiente a gran escala de Android preinstalado. Las aplicaciones han puesto de relieve los riesgos de privacidad y seguridad que el software precargado representa para los usuarios de la plataforma móvil desarrollada por Google.
Los investigadores detrás del documento, que se ha publicado en forma preliminar antes de una futura presentación en el Simposio IEEE sobre Seguridad y Privacidad, descubrieron un complejo ecosistema de jugadores con un enfoque principal en la publicidad y los "servicios basados en datos", que argumentan. es poco probable que el usuario promedio de Android no lo sepa (aunque también es probable que no tenga la capacidad de desinstalar / evadir el acceso privilegiado del software a los datos y recursos).
El estudio, realizado por investigadores de la Universidad Carlos III de Madrid (UC3M) y el Instituto IMDEA Networks, en colaboración con el Instituto Internacional de Ciencias de la Computación (ICSI) en Berkeley (EE. UU.) Y la Universidad Stony Brook de Nueva York (EE. UU.) ), abarcó más de 82,000 aplicaciones de Android preinstaladas en más de 1,700 dispositivos fabricados por 214 marcas, según el instituto IMDEA.
"El estudio muestra, por un lado, que el modelo de permisos en el sistema operativo Android y sus aplicaciones permiten a un gran número de actores rastrear y obtener información personal del usuario", escribe. “Al mismo tiempo, revela que el usuario final no está al tanto de estos actores en los terminales de Android o de las implicaciones que esta práctica podría tener en su privacidad. Además, la presencia de este software privilegiado en el sistema hace que sea difícil eliminarlo si uno no es un usuario experto ".
Un ejemplo de una aplicación conocida que puede venir preinstalada en ciertos dispositivos Android es Facebook .
A principios de este año, se reveló que el gigante de las redes sociales firmó un número desconocido de acuerdos con fabricantes de dispositivos para precargar su aplicación. Y si bien la compañía ha afirmado que estas preinstalaciones son solo marcadores de posición, a menos que, o hasta que un usuario elija participar activamente y descargar la aplicación de Facebook, los usuarios de Android esencialmente deben tomar esas reclamaciones de confianza sin capacidad para verificar las reclamaciones de la compañía (breve de encontrar un investigador de seguridad amigable para realizar un análisis de tráfico) ni eliminar la aplicación de su dispositivo por sí mismos. Las precargas de Facebook solo se pueden desactivar, no eliminar por completo.
Las precargas de la compañía también incluyen a veces un puñado de otras aplicaciones de sistema de marca de Facebook que son incluso menos visibles en el dispositivo y cuya función es aún más opaca.
Facebook confirmado previamente a TechCrunch no tiene capacidad para que los usuarios de Android eliminen ninguna de sus aplicaciones precargadas del sistema de Facebook.
"Facebook utiliza las aplicaciones del sistema Android para garantizar que las personas tengan la mejor experiencia de usuario posible, lo que incluye recibir notificaciones de manera confiable y tener la última versión de nuestras aplicaciones. Estas aplicaciones de sistema solo soportan Facebook familia de aplicaciones y productos, están diseñados para estar desactivados de forma predeterminada hasta que una persona comience a usar un Facebook aplicación, y siempre se puede deshabilitar ", una Facebook El portavoz nos dijo a principios de este mes.
Pero la red social es solo una de puntuaciones de empresas involucradas en un ecosistema extenso, opaco y aparentemente interconectado de recopilación y comercio de datos que Android soporta y en el que los investigadores se propusieron iluminar.
En total, se identificaron 1.200 desarrolladores detrás del software preinstalado que encontraron en el conjunto de datos que examinaron, así como más de 11.000 bibliotecas de terceros (SDK). Se encontró que muchas de las aplicaciones precargadas muestran lo que los investigadores denominan comportamiento potencialmente peligroso o indeseado.
El conjunto de datos que respaldaba su análisis se recopiló a través de métodos de aprovisionamiento público, utilizando una aplicación diseñada específicamente (llamada Firmware Scanner), y extrayendo datos de la aplicación Lumen Privacy Monitor. Este último brindó a los investigadores visibilidad sobre el flujo de tráfico móvil, a través de metadatos de flujo de red anónimos que se obtuvieron de sus usuarios.
También rastrearon Google Play Store para comparar sus hallazgos en aplicaciones preinstaladas con aplicaciones disponibles públicamente, y encontraron que solo el 9% de los nombres de paquetes en sus conjuntos de datos se indexaron públicamente en Play.
Otro hallazgo concerniente a los permisos. Además de los permisos estándar definidos en Android (es decir, que pueden ser controlados por el usuario), los investigadores dicen que identificaron más de 4,845 permisos de propietario o "personalizados" por diferentes actores en la fabricación y distribución de dispositivos.
Así que eso significa que encontraron que las soluciones sistemáticas de permisos de usuario se habilitaron gracias a una gran cantidad de acuerdos comerciales en un ecosistema de software de fondo sin Android basado en datos.
“Este tipo de permiso permite que las aplicaciones anunciadas en Google Juega para evadir el modelo de permiso de Android para acceder a los datos de los usuarios sin requerir su consentimiento en la instalación de una nueva aplicación ", escribe el IMDEA.
La conclusión de primera línea del estudio es que la La cadena de suministro en torno al modelo de código abierto de Android se caracteriza por una falta de transparencia, lo que a su vez ha permitido que un ecosistema crezca sin control y se establezca, que está plagado de comportamientos potencialmente dañinos e incluso acceso de puerta trasera a datos confidenciales, todo sin el consentimiento de la mayoría de los usuarios de Android. conciencia. (En el último frente, los investigadores llevaron a cabo una encuesta a pequeña escala de los formularios de consentimiento de algunos teléfonos Android para examinar el conocimiento del usuario).
La frase "si es gratis, usted es el producto" es una cereza demasiado trillada sobre un iceberg asombrosamente grande pero completamente sumergido que contiene datos. (No menos importante porque los teléfonos inteligentes Android no tienden a ser totalmente gratuitos).
"Las posibles asociaciones y acuerdos, hechos a puerta cerrada entre las partes interesadas, pueden haber convertido los datos de los usuarios en un producto antes de que los usuarios compren sus dispositivos o decidan instalar su propio software", advierten los investigadores. "Desafortunadamente, debido a la falta de autoridad central o sistema de confianza para permitir la verificación y atribución de los certificados autofirmados que se utilizan para firmar aplicaciones, y debido a la falta de cualquier mecanismo para identificar el propósito y la legitimidad de muchas de estas aplicaciones y los permisos personalizados, es difícil atribuir comportamientos no deseados y dañinos de la aplicación a la parte o partes responsables. Esto tiene implicaciones negativas más amplias para la responsabilidad y la responsabilidad en este ecosistema en su conjunto ".
Los investigadores continúan formulando una serie de recomendaciones destinadas a abordar la falta de transparencia y responsabilidad en el ecosistema de Android, lo que incluye sugerir la introducción y el uso de certificados firmados por autoridades certificadoras de confianza global, o un repositorio de transparencia de certificados dedicado a proporcionar detalles. y la atribución de certificados utilizados para firmar varias aplicaciones de Android, incluidas aplicaciones preinstaladas, incluso si son autofirmadas ”.
También sugieren que se debe exigir a los dispositivos Android que documenten todas las aplicaciones preinstaladas, además de su propósito, y nombren a la entidad responsable de cada pieza de software, y que lo hagan de manera "accesible y comprensible para los usuarios".
"[Android] los usuarios no están claramente informados sobre el software de terceros que se instala en sus dispositivos, incluidos los servicios de seguimiento y publicidad de terceros integrados en muchas aplicaciones preinstaladas, los tipos de datos que recopilan de ellos, las capacidades y la cantidad de control que controlan. tienen en sus dispositivos, y las asociaciones que permiten compartir información y dar control a otras compañías a través de permisos personalizados, puertas traseras y canales laterales. Esto requiere una nueva forma de política de privacidad adecuada para que las aplicaciones preinstaladas se definan y apliquen para garantizar que la información privada se comunique al menos al usuario de forma clara y accesible, acompañada de mecanismos que permitan a los usuarios tomar decisiones informadas sobre cómo o si "Para usar estos dispositivos sin tener que rootear sus dispositivos", argumentan, pidiendo una revisión de lo que ha sido un sistema de T&C moribundo, desde el punto de vista de los derechos del consumidor.
En conclusión, expresan el estudio como meramente arañar la superficie de "un problema mucho más grande", diciendo que su esperanza para el trabajo es atraer más atención a la preinstalado el ecosistema de software de Android y fomente un examen más crítico de su impacto en la privacidad y seguridad de los usuarios.
También escriben que tienen la intención de continuar trabajando para mejorar las herramientas utilizadas para recopilar el conjunto de datos, y dicen que su plan es "gradualmente" poner el conjunto de datos a disposición de la comunidad investigadora y los reguladores para alentar a otros a buceo en.
Source link