Así es el lado oscuro de las ‘apps’ preinstaladas en los móviles Android

Un estudio dirigido por españoles revela cómo gran parte de ese software que viene de fábrica vigila al usuario sin que lo sepa

android privacidad
Un móvil con un logo del sistema operativo Android.

Un estudio dirigido por dos académicos españoles, Juan Tapiador (de la Universidad Carlos III de Madrid) y Narseo Vallina (del IMDEA Networks Institute), desvela el lado oscuro de las aplicaciones preinstaladadas en los móviles Android. La investigación, que ha abarcado más de 82.000 apps que vienen de serie en más de 1.700 dispositivos fabricados por 214 marcas, llega a una conclusión estremecedora: dichas apps se ejecutan con permisos privilegiados lo que les permite acceder a los datos de los usuarios sin requerir su consentimiento.

“Muchas de estas apps vigilan y dan cuenta de lo que hacen las personas sin que lo sepan. Y ese software ya está ahí, en el terminal, cuando alguien compra un móvil, antes de que realices la instalación de las aplicaciones que tú quieres usar (de mensajería o productividad, por ejemplo). Así que queríamos saber quién instala estas apps o por qué se incluyen de serie y las respuestas a esas preguntas son realmente complicadas, pues la cadena de montaje que hay detrás de un teléfono Android es muy poco transparente y hay muchos actores involucrados”, señala a CincoDías Vallina.

No es solo el fabricante del móvil; también hay acuerdos comerciales con otras empresas (operadores móviles, redes sociales, servicios de publicidad...) que tienen intereses comerciales o de obtención de datos, añade Tapiador, que precisa que un teléfono pasa por muchas manos antes de llegar al usuario y cualquiera de esas empresas puede estar detrás de una de esas aplicaciones preinstaladas.

Los responsables del informe señalan que, en principio, Android [de Google] implementa un sistema de permisos que permite que el usuario controle directamente el acceso de las apps a recursos del sistemas (GPS, por ejemplo) o datos personales (lista de contactos, entre otros). “Pero, las apps preinstaladas se ejecutan con permisos privilegiados de sistema y sin posibilidad, en la mayoría de los casos, de ser desinstaladas de forma sencilla por el usuario medio”, resaltan.

Del estudio, en el que también participa la Stony Brook University (EE UU) y que será presentado el 1 de abril en el 41 th IEEE Symposium on Security and Privacy (una de las principales conferencias de ciberseguidad y privacidad del mundo), se desprende que el modelo de permisos de Android y de sus apps permiten que un gran número de actores puedan monitorizar y obtener información personal de los usuarios a nivel del sistema operativo. “Pero los usuarios desconocen la presencia de dichos actores en sus terminales y las implicaciones que dichas prácticas tienen sobre su privacidad”, dicen. 

En concreto, el informe identifica más de 1.200 compañías en las apps preinstaladas y más de 11.000 librerías (componentes de esas aplicaciones) en las que una gran parte de ellas está relacionada con la publicidad y monitorización online con fines comerciales.

Igualmente, un análisis del comportamiento del 50% de las apps identificadas revela que una fracción importante de ellas presenta comportamientos “maliciosos o no deseados”, como muestras de malware conocido como Xynyin, SnowFox, Rootnit, Triada y Ztorg, troyanos genéricos que permiten la instalación silenciosa de software o toma de control remota del dispositivo o software preinstalado que facilitaría prácticas potencialmente fraudulentas a través del envío de SMS a números premium, la promoción de apps para captar nuevos usuarios y la publicidad online. En este contexto, no hay que olvidar que los móviles Android representan más del 80% del mercado total de smartphones.

4.845 permisos propietarios

Tapiador, Vallina y los otros tres autores del análisis (Julien Gamba, Mohammed Rashed y Abbas Razaghpanah) también ponen sobre la mesa el “déficit” de transparencia no solo de las apps preinstaladas sino del propio sistema operativo Android “al mostrar al usuario una relación de permisos distinta de la real, lo cual limita su capacidad de decisión para gestionar su información personal y pueda ejercer su derecho a la protección de datos”.

En este sentido, aparte de los permisos estándar definidos en Android y bajo control del usuario, el estudio ha identificado más de 4.845 permisos propietarios o personalizados por los vendedores expuestos por aplicaciones preinstaladas. “Este tipo de permisos permite que apps publicadas en Google Play (la tienda de aplicaciones del gigante de internet) puedan eludir el modelo de permisos de Android para acceder a datos del usuario sin requerir su consentimiento a la hora de instalar una nueva app. Según el trabajo, el número de permisos existente dista mucho del número de permisos que “podrían ser gestionados humanamente”.

Las conclusiones del estudio son de carácter científico y no entra en consideraciones jurídicas, pero la Agencia Española de Protección de Datos (AEPD) dijo ayer que va a contribuir a su divulgación y que espera que ayude al establecimiento de garantías para la aplicación efectiva del derecho a la protección de los datos de los usuarios.

Normas