Un estudi revela el robatori de dades massives en telèfons Android a través de les apps preinstal·lades

Una investigació dirigida per científics espanyols ha revelat que els mòbils Android (de Google) monitoritzen l’usuari sense que ell ho sàpiga i accedeixen a les seves dades personals de forma massiva a través d’un gran nombre d’aplicacions preinstal·lades que amb prou feines poden retirar-se del terminal.

Les conclusions de la investigació realitzada per l’Institut IMDEA Networks amb seu a Leganés i la Universitat Carles III de Madrid es recullen a l’article 'An Analysis of Pre-installed Android Software', que ha difós l’Agència Espanyola de Protecció de Dades (AEPD) a causa de l’«impacte massiu» dels seus resultats sobre la privacitat i la protecció de les dades personals dels ciutadans, explica l’entitat en una nota.

De fet, l’AEPD presentarà aquest estudi i les seves conclusions en els subgrups de treball del Comitè Europeu de Protecció de Dades (CEPD), organisme de la Unió Europea del qual forma part l’entitat juntament amb altres autoritats europees de protecció de dades i el supervisor europeu.

La investigació inclou més de 82.000 aplicacions preinstal·lades a més de 1.700 dispositius amb sistema operatiu Android fabricats per 214 marques.

Pràcticament en tots els fabricants s’ha detectat algun tipus de software preinstal·lat que utilitza accés privilegiat sense coneixement de l’usuari a recursos del sistema per a l’obtenció de dades personals, segons els seus responsables.

La conclusió és que existeix un complex sistema de desenvolupadors i acords comercials amb aplicacions preinstal·lades que disposen de permisos que no es corresponen amb els originaris d’Android per donar accés als seus serveis sense possibilitat que un usuari mitjà pugui desinstal·lar-les.

Sense poder desinstal·lar-les

El problema és que «no hi ha transparència» entorn de l’activitat d’aquestes aplicacions que l’usuari no té capacitat per desinstal·lar i que vénen predeterminades amb el terminal, ha explicat Efe un dels autors de la investigació, Narseo Vallina-Rodríguez, d’IMDEA Networks.

En ocasions, pot ser que aquest hagi donat el consentiment per a l’accés a un servei però en d’altres, pot ser totalment inconscient de què està passant amb la seva informació personal, afegeix l’expert.

Segons l’estudi, el model de permisos per a l’accés a les aplicacions preinstal·lades a Android que són diferents que inclou per defecte el sistema operatiu de Google, permet monitoritzar i obtenir informació personal a nivell operatiu sense coneixement de l’afectat, per part d’«un gran nombre d’actors».

Entre aquests hi ha multitud de companyies que van des de fabricants, fins operadors, xarxes socials, empreses multimèdia, de videojocs, d’antivirus, i una infinitat més, que podrien obtenir directament, beneficis per l’accés a aquestes dades dels usuaris per a alguna activitat comercial o vendre’ls a altres agents a canvi de diners.

De fet, l’informe pretenia revelar acords comercials entre venedors de dispositius Android i tercers, incloent organitzacions especialitzades en el monitoratge i rastreig d’usuaris i a proporcionar publicitat a internet, així com detectar i analitzar vulnerabilitats i altres pràctiques opaques i analitzar la transparència en la informació proporcionada a l’usuari.

S’han identificat més de 1.200 companyies relacionades amb les aplicacions preinstal·lades, i més d’11.000 llibreries (software inclòs en les apps per proporcionar serveis afegits) de les quals moltes estan relacionades amb activitats de publicitat i monitoratge «on line» amb finalitats comercials.

Una anàlisi exhaustiva del comportament del 50% de les aplicacions identificades revela que una fracció important de les mateixes presenta comportaments potencialment maliciosos o no desitjats, com a mostres de codi maliciós, troians genèrics o software preinstal·lat que facilitaria pràctiques fraudulentes.