Universidad Carlos III de Madrid (UC3M) y el Instituto IMDEA Networks, en colaboración con el Instituto Internacional de Ciencias de la Computación (ICSI) en Berkeley (EE. UU.) y la Universidad Stony Brook de Nueva York (EE. UU.), han realizado un estudio que engloba 82, 000 aplicaciones preinstaladas en más de 1, 700 dispositivos fabricados por 214 marcas, revelando la existencia de un complejo ecosistema de fabricantes, operadores móviles, desarrolladores y proveedores de aplicaciones, con una amplia red de relaciones entre ellos. Esto incluye organizaciones especializadas en el seguimiento y seguimiento de usuarios y en la provisión de publicidad en Internet. Muchas de las aplicaciones preinstaladas facilitan el acceso a datos y recursos privilegiados, sin que el usuario medio sea consciente de su presencia o pueda desinstalarlos.

El estudio muestra, Por un lado, que el modelo de permisos en el sistema operativo Android y sus aplicaciones permiten a un gran número de actores rastrear y obtener información personal del usuario. Al mismo tiempo, revela que el usuario final no tiene conocimiento de estos actores en los terminales Android ni de las implicaciones que esta práctica podría tener en su privacidad. Es más, la presencia de este software privilegiado en el sistema dificulta su eliminación si no se es un usuario experto.

Estos resultados se detallan en un artículo que se hará público el 1 de abril y que se presentará en una de las principales conferencias de ciberseguridad y privacidad a nivel mundial. el 41 ° Simposio de IEEE sobre seguridad y privacidad, California (EE. UU.) Bajo el título Análisis de software de Android preinstalado. La Agencia Española de Protección de Datos- AEPD (Agencia Española de Protección de Datos), lo que ha contribuido a la difusión de este estudio por el impacto masivo de los resultados en la privacidad ciudadana, presentará los resultados ante la Comisión Europea de Protección de Datos.

Otros hallazgos

Además de los permisos estándar definidos en Android y que pueden ser controlados por el usuario, los investigadores han identificado más de 4, 845 permisos propios o personalizados por parte de diferentes actores en la fabricación y distribución de los terminales. Este tipo de permiso permite que las aplicaciones anunciadas en Google Play eludan el modelo de permiso de Android para acceder a los datos del usuario sin requerir su consentimiento al instalar una nueva aplicación.

En cuanto a las aplicaciones preinstaladas en los dispositivos, 1, Se han identificado 200 desarrolladores detrás del software preinstalado, así como la presencia de más de 11, 000 bibliotecas de terceros (SDK) incluidas en el mismo. Una parte importante de las bibliotecas está relacionada con los servicios publicitarios y el seguimiento en línea con fines comerciales. Estas aplicaciones preinstaladas se ejecutan con permiso privilegiado y sin poder, en la mayoría de los casos, para ser desinstalado del sistema. Un análisis exhaustivo del comportamiento del 50% de las aplicaciones identificadas revela que muchas de ellas muestran comportamientos potencialmente peligrosos o no deseados.

En relación con la información ofrecida al iniciar sesión en un nuevo terminal, se saca a la luz la falta de transparencia de las aplicaciones y del propio sistema operativo Android, al mostrarle al usuario una lista de permisos diferentes a los reales, limitando así la capacidad de toma de decisiones en materia de gestión de datos personales.

Curso de acción de la AEPD

De acuerdo con un comunicado de prensa de la AEPD, esta agencia nacional presentará este estudio y sus conclusiones a los subgrupos de trabajo de la Comisión Europea de Protección de Datos (ECDP), una entidad de la Unión Europea que forma parte de la Agencia, junto con otras autoridades europeas de protección de datos y el Supervisor Europeo. Entre las funciones del ECDP se encuentra el fomento de la cooperación entre las agencias de protección de datos.

La Agencia incluye en el segundo eje central de su Plan Estratégico (Innovación y Protección de Datos) el establecimiento de canales de colaboración con grupos de investigación, industria, y desarrolladores, con el objetivo de fomentar la confianza en la economía digital en línea con lo establecido en el Reglamento General de Protección de Datos (RGPD). Según la Agencia Española de Protección de Datos, este estudio contribuye a permitir a los fabricantes, desarrolladores y distribuidores para aplicar los principios de Privacidad por Defecto y Diseño establecidos en el RGPD y orientados a salvaguardar los derechos y libertades de las personas. La difusión del estudio realizado por IMDEA Networks y UC3M forma parte de estas acciones, independiente de las posibles actuaciones que puedan derivarse de las competencias y del marco coherente que establece el RGPD.