Seguirle la pista a lo que depara Android para sus usuarios supone descubrir multitud de riesgos de seguridad y de privacidad que afectan a las aplicaciones que se encuentran al alcance de los teléfonos. Es algo que, de tan habitual, se ha convertido casi en cotidiano. Pero lo que revela un nuevo estudio va mucho más allá de la falta de privacidad en apps de la Google Play Store: las propias aplicaciones preinstaladas nos pondrían en peligro.
El estudio lleva avalado por la Universidad Carlos III de Madrid, el Instituto Internacional de Ciencia Computacional de la Universidad de Berkeley y el instituto IMDEA Networks. Investigadores de los tres centros mencionados llevaron a cabo un pormenorizado estudio sobre 1724 móviles de 214 marcas diferentes y en 30 países distintos. Los datos recabados se trasladaron a un paper que está actualmente online. En él se detalla la vulnerabilidad de los usuarios de Android ante las aplicaciones preinstaladas.
Comprar cualquier móvil Android no solo supone adentrarse en el sistema operativo, también abre la puerta a todas las Google Apps (si el móvil está certificado por Google, algo habitual), a las aplicaciones propias del fabricante y apps integradas en base a acuerdos con terceras empresas. El usuario nada tiene que hacer aquí: sin darse cuenta comparte una buena parte de sus datos, tanto personales como de uso, con empresas y servidores que a menudo son opacos.
Aplicaciones preinstaladas, servicios, librerías… Los usuarios desconocen la cantidad de información que comparten
Una de las conclusiones del estudio es que la enorme escalabilidad de Android ha permitido que el volumen de datos recabado por las aplicaciones sea gigantesco. Y todo sin tener que descargar absolutamente nada de la Google Play Store ya que basta con encender un teléfono nuevo y conectarlo a Internet para que todo lo que trae de serie comience e enviar información desde el smartphone al exterior.
El volumen de datos recogido por las apps es enorme porque Android también es gigantesco
El principal problema de Android es su popularidad (más del 80 % del parque mundial posee este sistema operativo) y la facilidad de acceso a los permisos que tiene cada una de las apps preinstaladas; además de las librerías y los servicios, elementos que están activos en segundo plano y que no quedan reflejados en las gráficas de uso.
Como detalla el estudio, gran parte de las apps preinstaladas en la mayoría de teléfonos Android posee permisos de serie que vulneran la privacidad del usuario. A menudo no tienen ni que pedirlo en la primera ejecución ya que una buena parte de las aplicaciones es de sistema. Y a esto se suma otro peligro: el software preinstalado puede actualizarse a distancia, por lo que una empresa que posea acceso a los servidores de actualización podría inyectar software malicioso sin que el dueño del móvil lo percibiese.
Los investigadores han corroborado la ingente cantidad de datos que comunican todas las aplicaciones preinstaladas en nuestros móviles Android. Acceso a las IDs de dispositivo, IMEI, registro de llamadas, SMS… Esta información no solo se comparte con servidores conocidos de los fabricantes y aplicaciones, también con servidores que pueden ser opacos, con el enorme riesgo de privacidad que esto supone.
No hay manera sencilla de escapar del control de las aplicaciones
El estudio pone de manifiesto el enorme control que las aplicaciones preinstaladas ejercen sobre el usuario. Monitorizan toda su actividad y llegan a compartir datos privados con empresas que nada tienen que ver con la marca o con las propias aplicaciones. Además, muchas de ellas dejan una puerta trasera abierta a la instalación de más apps y servicios, siempre sin que el usuario sea consciente de lo que ocurre en su móvil.
¿Y qué es lo que podemos hacer como usuarios? Poca cosa más que elegir un móvil lo más limpio posible. Uno con ROM AOSP, por ejemplo; por más que el riesgo de la pérdida de privacidad siempre esté presente. Es tal nuestra incapacidad que debemos aceptar todos los términos de uso para arrancar el teléfono por el que hemos pagado: hasta que no marcamos la aceptación de todas las condiciones Android no arranca.
El estudio ha sido aceptado por el IEEE Symposium on Security & Privacy de California, una de las principales conferencias de privacidad y de seguridad. Se ha llevado a cabo por Julien Gamba, Mohammed Rashed, Abbas Razaghpanah, Juan Tapiador y Narseo Vallina-Rodriguez.