Android nos espía sin necesidad de instalar apps

Millones de usuarios activos corriendo el sistema operativo líder del mercado, y el mito que siempre nos alerta ¿Es Android un OS que nos espía? ¿Qué tanto de nuestra rutina diaria comparte el gigante de Google con terceros? Por Gabriela Sepúlveda. Android es el sistema operativo móvil más utilizado a nivel mundial, sus casi dos […]

Millones de usuarios activos corriendo el sistema operativo líder del mercado, y el mito que siempre nos alerta ¿Es Android un OS que nos espía? ¿Qué tanto de nuestra rutina diaria comparte el gigante de Google con terceros?

Por Gabriela Sepúlveda.

Android es el sistema operativo móvil más utilizado a nivel mundial, sus casi dos billones de usuarios activos dan cuenta de ello, abarcando así casi el 81% del universo de los smartphones. Podríamos extrapolar esta información a que 8 de cada 10 personas que lean esta publicación desde un smartphone, probablemente lo hagan bajo este OS. Pero seamos honestos, si bien mucho se dice que Facebook es el gran dueño de nuestra información personal, Google, a través de Android, es quien más sabe de nuestra vida diaria.

Estás conversando con amigos de ciertos productos, o tal vez en tu ruta diaria pasas constantemente frente a una determinada tienda, y ¡Boom! Te encuentras con publicidad de esos productos o tiendas, y te preguntas ¿Cómo? ¿Coincidencia? ¿Mi smartphone me está escuchando? Vamos a desbaratar este mito gracias a los recientes resultados que arrojó un artículo proveniente del Instituto IMDEA Networks, titulado “An Analysis of Pre-installed Android Software”, en el cual se concluye que Android espía de forma masiva a sus usuarios gracias al software preinstalado.

Software Preinstalado

El software, que viene preinstalado por defecto en el sistema, trae interesantes modos de rastreo que hacen uso de la información personal de los usuarios. Si bien este uso en un principio es para dar un valor añadido, termina siendo utilizada con propósitos comerciales ¿El problema? Utilizan esta información sin que los usuarios lo sepan, y debido al alcance que tiene el OS se imaginaran lo escalable que resulta el problema.

Recordemos que Android posee un modelo de desarrollo de código abierto, esto permite que cualquier fabricante sea capaz de incluir versiones personalizadas del sistema operativo junto con algunas aplicaciones preinstaladas. El problema recae en aquellas aplicaciones que están instaladas en /system/priv-app o que vienen firmadas con la clave de la plataforma. Esto permite que la aplicación pueda tener acceso a permisos privilegiados del sistema. Por tanto, es muy fácil que estas aplicaciones se ejecuten en segundo plano, rastreando las actividades de los usuarios sin su consentimiento explícito, y muchas veces incluso sin su conocimiento.

Por ejemplo, en el caso de los dispositivos OnePlus, se ha determinado la presencia de software que permite a un controlador remoto rootear el teléfono y realizar operaciones de alto privilegio que están reservadas para el fabricante. ¿El problema? Estas modificaciones pueden ser introducidas por los operadores de red o los revendedores, y de ésta manera incluir software espía.

Riesgos de Privacidad y Seguridad

Desde hace años, a raíz de la poca cantidad de investigaciones, las aplicaciones preinstaladas han permanecido como un área desconocida. Esto ha provocado que no quede claro si los proveedores utilizan estas aplicaciones sólo para recopilar datos de sus usuarios, o proporcionan APIs para afiliar aplicaciones, y socios para acceder a los recursos privilegiados (Como en el caso de la API de Knox de Samsung).

Es posible evitar los abusos y vulnerabilidades mediante la instalación de alternativas de código abierto de mayor confianza para el firmaware original, como por ejemplo, LineageOS. Pero es importante considerar que esta está lejos de ser la solución ideal, ya que recordemos que los dispositivos de rooting suelen exponer finalmente aún más riesgos de seguridad, y además un firmware de terceros puede reducir la funcionalidad del dispositivo debido a la falta de controladores y otros problemas.

El Estudio

Como la mayoría de las aplicaciones que vienen preinstaladas no se pueden encontrar en Google Play y otras tiendas, fue necesario extraerlas de la partición del sistema desde teléfonos reales. Para ello, los investigadores, solicitaron voluntarios, reuniendo de esta manera más de 1.000 APKs preinstaladas, provenientes de 15 dispositivos únicos que cubren 8 fabricantes diferentes (Entre ellos Samsung -en gama alta- y Wiko -en gama baja-).

De forma paralela, se obtuvieron datos provenientes de la aplicación Lumen Privacy Monitor (Aplicación Android, disponible en Google Play, destinada a promover la transparencia y el control de nuestros datos personales y su tráfico). Para este caso, se utilizaron más de 15 millones de registros de tráfico anonimizados proporcionados por más de 13.000 usuarios. Este conjunto de datos cubre 567 aplicaciones preinstaladas que cubren 140 proveedores diferentes de Android.

El objetivo era analizar el conjunto de datos recopilados con el fin de analizar el uso de permisos, el acceso a recursos privilegiados y las filtraciones de seguridad.

• Datos desde teléfonos reales: Entre los resultados se encontraron algunas aplicaciones que filtran el IMEI del teléfono a través de SMS junto con otro tipo de información privada. También se encontraron aplicaciones que verificaban la ubicación geográfica del usuario, filtrandola a terceros. A donde podemos poner ojo en el estudio es a los permisos solicitados por las aplicaciones analizadas. La mayoría de las aplicaciones preinstaladas requieren acceso a Internet, y una gran cantidad de ellas puede leer el estado del teléfono, la lista de contactos, las cuentas, la ubicación, etc. Sin embargo, más del 99% de los permisos identificados son permisos personalizados, definidos por el desarrollador de la aplicación.

• Datos desde Lumen Privacy Monitor: Analizando el tráfico de datos, se encontraron 7.613 dominios diferentes que reciben datos desde aplicaciones preinstaladas, en donde alrededor del 80% de estas comunicaciones se realizó a través de canales encriptados. Se destaca, entre estos sitios, la presencia de dominios que se utilizan para servir anuncios al usuario, y otros de seguimiento y análisis. También se encontró que cerca del 63% de los datos personales se difunden a dominios de terceros, pero lo más sensible es que se ha observó que los servicios preinstalados pueden cargar datos confidenciales sin cifrado y, por lo tanto, suponen un grave riesgo de privacidad para los usuarios.

Si bien la cantidad de datos recopilados fue de tamaño limitado, se logró demostrar numerosas fugas de información personal y malas prácticas en aplicaciones.

Un panorama un poco más complejo

Pero el problema con el software pre-instalado no queda solo ahí. Al estar junto al sistema operativo, tienen acceso a todas las funcionalidades del smartphone, además de poder actualizarse, y así mutar.

Pongámonos en el supuesto caso en donde un fabricante ha dado permiso a un tercero para que incluya código que efectúe una operación ‘A’ inofensiva. El peligro recae en que este código puede actualizarse, y por ejemplo, meses después, estos terceros pueden realizar una actualización en su código con el fin de ya no realizar esta operación ‘A’, sino que una operación ‘B’ que puede ser desde grabar conversaciones hasta acceder a la cámara del dispositivo, entre otras acciones. Como son aplicaciones preinstaladas, el propietario del smartphone no puede impedir la actualización, y es más, ni siquiera se le piden los permisos específicos, pues lo que se actualiza es el sistema operativo.

Otra situación de riesgo que puede darse con aplicaciones preinstaladas que pueden otorgar permisos a otras aplicaciones. Veamos un ejemplo: Tenemos una aplicación preinstalada ‘Z’, aparentemente legítima que siempre se mantiene encendida recogiendo información nuestra como la geolocalización y el micrófono. La aplicación no posee permisos para conectarse a Internet, por tanto no puede enviar esta información a ningún servidor, lo que la hace ver inofensiva. El punto es que lo que sí hace esta app, es otorgar un permiso personalizado que regula el acceso a los datos recopilados. La situación se complica cuando descargamos una aplicación desde la Google Play Store, por ejemplo, una app tipo agenda que solo solicita acceso a Internet para mantener tu agenda online, pero que además pide permiso personalizado a la aplicación ‘Z’. Como los permisos de la aplicación no son mostrados al usuario, es muy común que se termine otorgando los permisos de ‘Z’ y de esta manera la aplicación que en un principio solo era una agenda, se vuelve una aplicación espía con acceso a tu localización, micrófono y acceso a internet para enviar esta información a terceros.

Ojo a los permisos que otorgamos

Durante todo el artículo hemos mencionado constantemente la palabra ‘permiso’, y es que finalmente lo poco que podemos hacer actualmente es poner énfasis a los permisos que otorgamos al iniciar el sistema operativo y al instalar aplicaciones desde la Google Play Store.

Se hace indispensable leer los permisos solicitados cuidadosamente y considerar si realmente es necesario otorgarlos o no. En caso de dudas, es recomendable no instalar dicha aplicación, por mucho que la deseemos.