• Tweet

Investigadores de Laboratorios de Intel, Universidad de Duke y Universidad Estatal de Pennsylvania han creado una herramienta que analiza la manera en la que aplicaciones de Android manejan los datos a los que acceden en smartphones (teléfonos inteligentes). Los resultados de los experimentos en 30 aplicaciones podrían sorprender a algunas personas.

Los investigadores redujeron una lista de las aplicaciones más populares de Android en las principales categorías donde se tenía acceso a información potencialmente sensible, tales como ubicación e identificación del dispositivo, luego seleccionaron las 30 aplicaciones de forma aleatoria.

Posteriormente crearon una herramienta de prueba de concepto llamada TaintDroid que analiza en tiempo real la información recolectada y es potencialmente sensible, incluyendo datos de GPS, número de teléfono, contactos, IMEI (International Mobile Equipment Identity) o Identidad Internacional de Equipo Móvil, número que identifica el dispositivo (ID device) y el número de serie de la tarjeta SIM.

Cuando un usuario quiere descargar una aplicación Android, una pantalla de permisos es desplegada y explica exactamente a cuáles datos y recursos tiene acceso la aplicación; los usuarios deben aceptar antes de continuar con la descarga. El reporte sugiere que los usuarios pueden estar en riesgo porque las aplicaciones no indican la manera en la que se utilizan esos datos.

“El control de acceso de Android proporciona protección insuficiente contra aplicaciones de terceros que recolectan datos sensibles”, señala el reporte titulado “Monitoreo de la privacidad en tiempo real en Smartphones”. El documento será presentado en el Simposio USENIX sobre Diseño e Implementación de Sistemas Operativos (USENIX Symposium on Operating Systems Design and Implementation) en Vancouver la próxima semana.

Específicamente, los investigadores encontraron que dos terceras partes de las 30 aplicaciones revisadas utilizaron datos sensibles de manera sospechosa, la mitad compartieron datos con servidores de publicidad y análisis sin requerir “el consentimiento explícito o implícito” y un tercio de éstas expuso el identificador del dispositivo, en ocasiones con el número del teléfono y el número de serie de la tarjeta SIM. En total, los investigadores señalaron que encontraron 68 instancias de un potencial mal uso de la información privada de los usuarios en 20 aplicaciones.

“Las pantallas de permisos indican, ‘esto es lo que puede acceder la aplicación’… pero esa pantalla no muestra cómo va ser utilizada esa información por las aplicaciones una vez que la recuperan”, señaló William Enck, un estudiante de la Universidad Estatal de Pennsylvania y uno de los líderes del proyecto. “Ahora, los usuarios tienen que ser más precavidos con las aplicaciones que instalan, observar a detalle la pantalla de permiso y asumir que su información puede ser mal utilizada. Tal como ocurre cuando navegas en Internet. Es mejor prevenir que lamentar”.

Las aplicaciones pueden y deberían proveer, en Acuerdos de licencia en usuarios finales (EULA’s), información acerca de qué se realizará con los datos, sugiere el reporte. Algunas de las aplicaciones despliegan EULA’s en el dispositivo, pero muy pocas, y no explican el uso de los datos.

Es cierto que la muestra es muy pequeña, considerando que existen más de 70,000 aplicaciones disponibles para descargarse en el mercado Adroid.

“La intención no es cuantificar cómo se comportan las aplicaciones que se encuentran en el mercado, sino realizar un análisis cualitativo para ver lo que en realidad está ocurriendo con unas cuantas aplicaciones y poner a prueba una herramienta para determinar qué sucede con ellas en tiempo real”, señaló Enck.

Un representante de Google indicó que los usuarios deben aprobar explícitamente este acceso con el fin de continuar con la instalación y así puedan desinstalarla en cualquier momento.

“En todos los dispositivos de cómputo, de escritorio o móviles, los usuarios deben confiar por lo menos algunos de sus datos al desarrollador de la aplicación”, mencionó el representante. “Android ha tomado medidas para informar a los usuarios de esta relación de confianza y limitar la cantidad de confianza que un usuario debe conceder a cualquier desarrollador de aplicaciones. También proporcionan a los desarrolladores las mejores prácticas sobre cómo manejar los datos del usuario… Siempre aconsejamos a los usuarios instalar aplicaciones confiables.”

Una tabla en el reporte identifica las aplicaciones y los tipos de aplicaciones que fueron parte de la muestra (las cuales incluyen MySpace, The Weather Channel, Solitaure, Coupons, BBC News Live Stream, Ringtones y Spongebob Slide game), pero Enck dijo que no quería destacar ninguna de las aplicaciones por su comportamiento, ya que los investigadores no conocen el propósito de la recolección de datos.

Mientras tanto, no espere poder descargar la aplicación TaintDroid en los próximos meses. Se requiere de modificaciones en el firmware del dispositivo para que funcione, los usuarios tendrían que modificar sus teléfonos y por lo tanto invalidar la garantía. Pero los investigadores la ofrecieron como una herramienta de código abierto para otros investigadores y para que los desarrolladores experimenten con ella, indicó Enck. Puede encontrar un video de demostración de TaintDroid aquí.

Existe otro proyecto que analiza aplicaciones móviles. El proyecto App Genome, lanzado en julio por el proveedor de seguridad móvil Lookout, que cubre tanto aplicaciones Android como de iPhone. Sin embargo, el proyecto App Genome revisa lo que los archivos de la aplicación son capaces de hacer, basado en un análisis estático de código, mientras que el proyecto TaintDroid realiza un análisis dinámico de los flujos de datos fuera del teléfono, dijo Kevin Mahaffey, jefe de tecnología de Lookout.

“TaintDroid se ejecuta en un teléfono e informa sobre las aplicaciones instaladas en el teléfono, mientras que el proyecto App Genome se basa en los mercados de Android e iPhone y reporta sobre todas las aplicaciones disponibles”, indicó Mahaffey.

MAM/