De acuerdo con los resultados de una reciente prueba, el 50% de las aplicaciones gratuitas Android tomadas como muestra remitían a servidores de publicidad información privada del usuario sin su conocimiento.
Investigadores de los laboratorios de Intel y las universidades de Duke y Penn State han creado TaintDroid para controlar en tiempo real la privacidad de los smartphones. En una reciente prueba con teléfonos Android, detectaron que 15 de 30 aplicaciones gratuitas populares seleccionadas al azar en Android Market enviaron información privada de los usuarios a servidores de publicidad a distancia, sin que los usuarios fueran conscientes de lo que se está enviando o a quién. En algunos casos, esta información incluye el envío, cada 30 segundos, de los datos de la ubicación del usuario.
TaintDroid fue diseñado para descubrir cómo usan la información las aplicaciones a las que el usuario ha permitido el acceso y uso de datos privados o sensibles, incluyendo la ubicación, números de teléfono y los identificadores de la tarjeta SIM. Los resultados sugieren que tanto en Android como en otros sistemas operativos de móviles hay que hacer más para controlar lo que hacen las aplicaciones de terceros.
Las aplicaciones de un smartphone pueden combinar datos de servicios en la nube con los datos extraídos del teléfono y de sus sensores, tales como el receptor GPS, la cámara, el acelerómetro, y el micrófono. Y hay razones legítimas para que las aplicaciones accedan a una serie de datos de la privacidad del usuario. Sin embargo, Android y otros sistemas operativos sólo ofrecen controles básicos: los usuarios pueden permitir o no permitir que una aplicación acceda a dicha información, pero no pueden controlar la forma en que los datos son posteriormente utilizados por la aplicación.
“Por ejemplo, si un usuario permite que una aplicación acceda a su información de ubicación, no tiene manera de saber si la solicitud se enviará a un servicio de anuncios basados en la localización, a los desarrolladores de la aplicación, o a cualquier otro lugar”, señalan los autores. “Como resultado, los usuarios deben confiar ciegamente que las aplicaciones manejan correctamente sus datos privados”.
Un polémico estudio publicado en junio de 2010 por SMobile dice que el 20% de las aplicaciones de Android solicitan acceso a datos sensibles. Muchos desarrolladores de Android indicaron que los usuarios conceden explícitamente el permiso para estas aplicaciones, y el acceso a estos datos es a menudo necesario.
Pero el proyecto TaintDroid va más allá: la pregunta es, una vez que se concede el acceso, ¿qué hace realmente la aplicación con esos datos?
TaintDroid parte de la suposición de que no se puede confiar en cada una de las solicitudes. Técnicamente, dice Pedro Duque Gilbert, uno de los desarrolladores, TaintDroid es una extensión de la máquina virtual de Android, llamada Dalvik, en la que realmente se ejecutan las aplicaciones de Android. “Para utilizar TaintDroid, hay que instalar nuestro firmware a la medida”, dice.
El código utiliza una técnica que, básicamente, marca determinados datos sensibles, y luego realiza el seguimiento de esos datos para observar su propagación a través de archivos, programas y mensajes entre procesos.
Cuando los datos marcados se envían a través de la red, o dejan el sistema de algún modo, TaintDroid registra las marcas, la aplicación responsable de la transmisión y su destino. Después crea una alerta de texto simple para el usuario, mostrando la información que se envió, y a quién.
“La actual notificación de la interfaz de usuario es sólo un prototipo preliminar que hemos construido con el sistema demo TaintDroid”, dice Jaeyeon Jung, científico de investigación de Intel Labs, Seattle. “La investigación está en marcha para crear una interfaz de privacidad a través del cual los usuarios podrán configurar las opciones de privacidad y control de la exposición de datos en los smartphones”.
En las pruebas con 30 aplicaciones populares seleccionadas al azar, que hacen uso de la localización, la cámara o el micrófono, el software marcó 105 casos en los que se enviaron datos marcados. Los investigadores concluyeron que en 37 de los casos (un poco más de un tercio) fueron transmisiones legítimas. Quince de las aplicaciones informaron de ubicaciones de los usuarios a servidores remotos de publicidad. Siete recogieron la identificación del dispositivo y, a veces, el número de teléfono y el teléfono el número de serie de la tarjeta SIM.
“En total, dos terceras partes de las aplicaciones en nuestro estudio utilizan los datos sensibles de forma sospechosa”, concluye el documento.