Universidad Carlos III de Madrid (UC3M) och IMDEA Networks Institute, i samarbete med International Computer Science Institute (ICSI) i Berkeley (USA) och Stony Brook University of New York (USA), har genomfört en studie som omfattar 82, 000 förinstallerade appar på mer än 1, 700 enheter tillverkade av 214 varumärken, avslöjar förekomsten av ett komplext ekosystem av tillverkare, mobiloperatörer, apputvecklare och leverantörer, med ett brett nätverk av relationer dem emellan. Detta inkluderar specialiserade organisationer inom användarövervakning och spårning och tillhandahållande av internetreklam. Många av de förinstallerade apparna underlättar åtkomst till privilegierade data och resurser, utan att den genomsnittliga användaren är medveten om sin närvaro eller kan avinstallera dem.

Studien visar, å ena sidan, att tillståndsmodellen på Android-operativsystemet och dess appar tillåter ett stort antal aktörer att spåra och få personlig användarinformation. På samma gång, det avslöjar att slutanvändaren inte är medveten om dessa aktörer i Android -terminalerna eller om de konsekvenser som denna praxis kan ha på deras integritet. Vidare, närvaron av denna privilegierade programvara i systemet gör det svårt att eliminera det om man inte är en expertanvändare.

Dessa resultat beskrivs i detalj i en artikel som kommer att offentliggöras den 1 april och som kommer att presenteras på en av de största cybersäkerhets- och integritetskonferenserna världen över, det 41:e IEEE -symposiet om säkerhet och integritet, Kalifornien (USA) under titeln An Analysis of Pre-installed Android Software. Agencia Española de Protección de Datos- AEPD (spanska dataskyddsmyndigheten), som har bidragit till spridningen av denna studie på grund av resultatens enorma inverkan på medborgarnas integritet, kommer att presentera resultaten inför Europeiska kommissionen för dataskydd.

Andra fynd

Förutom de standardbehörigheter som definieras i Android och som kan kontrolleras av användaren, forskarna har identifierat mer än 4, 845 ägare eller personliga tillstånd från olika aktörer vid tillverkning och distribution av terminalerna. Denna typ av behörighet tillåter appar som annonseras på Google Play att kringgå Androids tillståndsmodell för att komma åt användardata utan att deras samtycke krävs vid installation av en ny app.

När det gäller förinstallerade appar på enheter, 1, 200 utvecklare har identifierats bakom den förinstallerade programvaran, liksom närvaron av mer än 11, 000 tredjepartsbibliotek (SDK) inkluderade i samma. En viktig del av biblioteken är relaterad till reklamtjänster och onlinespårning för kommersiella ändamål. Dessa förinstallerade appar körs med privilegierad behörighet och utan att kunna, i de flesta fall, ska avinstalleras från systemet. En uttömmande analys av beteendet hos 50% av de identifierade apparna avslöjar att många av dem visar potentiellt farligt eller oönskat beteende.

När det gäller informationen som erbjuds vid inloggning på en ny terminal, bristen på apparnas transparens och själva Android-operativsystemet uppdagas, när användaren visar en lista över behörigheter som skiljer sig från de riktiga, därigenom begränsa kapaciteten för beslutsfattande avseende personuppgiftshantering.

AEPD handlingssätt

I enlighet med ett pressmeddelande från AEPD, denna nationella byrå kommer att presentera denna studie och dess slutsatser för arbetsgrupperna under Europeiska kommissionen för dataskydd (ECDP), en enhet från Europeiska unionen som utgör en del av byrån, tillsammans med andra europeiska dataskyddsmyndigheter och den europeiska tillsynsmyndigheten. En av ECDP:s funktioner är att främja samarbete mellan dataskyddsmyndigheter.

Byrån inkluderar i den andra centrala axeln i sin strategiska plan (innovation och dataskydd) upprättandet av samarbetskanaler med forskargrupper, industri, och utvecklare, med målet att främja förtroendet för den digitala ekonomin i linje med vad som anges i den allmänna dataskyddsförordningen (GDPR). Enligt den spanska dataskyddsbyrån, denna studie bidrar till att göra det möjligt för tillverkare, utvecklare och distributörer att tillämpa principerna för Privacy by Default och Design som fastställts i GDPR och som syftar till att skydda individers rättigheter och frihet. Spridning av studien som genomförts av IMDEA Networks och UC3M är en del av dessa åtgärder, oberoende av eventuella åtgärder som kan uppstå på grund av befogenheterna och den sammanhängande ram som fastställs av GDPR.