News

6/recent/ticker-posts

Investigadores descubren que los teléfonos Android te rastrean incluso cuando has desactivado el seguimiento


Esta es un área en la que Apple claramente tiene ventaja sobre su competidor

Si usas un teléfono Android y estás (¡con razón!) preocupado por la privacidad digital, probablemente ya te hayas ocupado de lo básico. Has eliminado la más snoopie de las aplicaciones snoopy, has optado por no rastrear siempre que ha sido posible y has tomado todas las demás precauciones que te han indicado las populares guías prácticas de privacidad. La mala noticia, y es posible que desees sentarte a escuchar esto, es que ninguno de esos pasos es suficiente para estar completamente libre de rastreadores.

O al menos, esa es la idea central de un nuevo artículo de investigadores del Trinity College de Dublín que analizaron los hábitos de intercambio de datos de algunas variantes populares del sistema operativo Android, incluidas las desarrolladas por Samsung, Xiaomi y Huawei. Según los investigadores, “con poca configuración” desde el primer momento y cuando se dejaban inactivos, estos dispositivos devolvían incesantemente los datos del dispositivo a los desarrolladores del sistema operativo y a una gran cantidad de terceros seleccionados. Y lo que es peor es que, a menudo, no hay forma de excluirse de este ping de datos, incluso si los usuarios así lo desean.

Gran parte de la culpa aquí, como señalan los investigadores, recae en las llamadas “aplicaciones del sistema”. Estas son aplicaciones que vienen preinstaladas por el fabricante del hardware en un dispositivo determinado para ofrecer un cierto tipo de funcionalidad: una cámara o una aplicación de mensajes son ejemplos. Android generalmente empaqueta estas aplicaciones en lo que se conoce como la “memoria de solo lectura” (ROM) del dispositivo, lo que significa que no puede eliminar o modificar estas aplicaciones sin, bueno, rootear tu dispositivo. Y hasta que lo haga, los investigadores descubrieron que constantemente enviaban datos del dispositivo a su empresa matriz y a más de unos pocos terceros, incluso si nunca abrían la aplicación.

Aquí hay un ejemplo: supongamos que posees un dispositivo Samsung que viene empaquetado con algunos programas de Microsoft preinstalados, incluido (ugh) LinkedIn. Aunque existe una buena posibilidad de que nunca abras LinkedIn por ningún motivo, esa aplicación codificada constantemente envía un ping a los servidores de Microsoft con detalles sobre tu dispositivo. En este caso, se trata de los llamados “datos de telemetría”, que incluyen detalles como el identificador único de tu dispositivo y la cantidad de aplicaciones de Microsoft que ha instalado en tu teléfono. Estos datos también se comparten con cualquier proveedor de análisis de terceros que estas aplicaciones puedan haber conectado, lo que generalmente significa Google, ya que Google Analytics es el rey reinante de todas las herramientas de análisis que existen.


El desglose del investigador de qué dispositivos recopilaban qué datos y adónde se enviaban
El desglose del investigador de qué dispositivos recopilaban qué datos y adónde se enviaban
Captura de pantalla: Shoshana Wodinsky (Trinity College)

En cuanto a las aplicaciones codificadas de forma rígida que puede abrir de vez en cuando, se envían incluso más datos con cada interacción. Los investigadores detectaron Samsung Pass, por ejemplo, compartiendo detalles como marcas de tiempo que detallan cuándo estaba usando la aplicación y por cuánto tiempo, con Google Analytics. Lo mismo ocurre con Game Launcher de Samsung, y cada vez que abres el asistente virtual de Samsung, Bixby.

Samsung no está solo aquí, por supuesto. La aplicación de mensajería de Google que viene preinstalada en los teléfonos del competidor de Samsung, Xiaomi, fue capturada compartiendo marcas de tiempo de cada interacción del usuario con Google Analytics, junto con registros de cada vez que ese usuario envió un mensaje de texto. Los dispositivos Huawei fueron sorprendidos haciendo lo mismo. Y en los dispositivos en los que la SwiftKey de Microsoft venía preinstalada, los registros que detallaban cada vez que se usaba el teclado en otra aplicación o en otro lugar del dispositivo se compartían con Microsoft.

Apenas hemos arañado la superficie aquí cuando se trata de lo que hace cada aplicación en cada dispositivo que estos investigadores examinaron, por lo que deberías consultar el documento o, mejor aún, consultar nuestra práctica guía sobre el espionaje de datos de Android para compartir prácticas. Pero en su mayor parte, verás que se comparten datos que se ven bonitos, bueno, aburridos: registros de eventos, detalles sobre el hardware de su dispositivo (como el modelo y el tamaño de la pantalla), junto con algún tipo de identificador, como el hardware de un teléfono número de serie e identificador de anuncio para móviles, o “AdID”.

Por sí solos, ninguno de estos puntos de datos puede identificar tu teléfono como exclusivamente tuyo, pero en conjunto, forman una “huella digital” única que se puede utilizar para rastrear tu dispositivo, incluso si intentas optar por no participar. Los investigadores señalan que, si bien el ID de publicidad de Android se puede restablecer técnicamente, el hecho de que las aplicaciones generalmente lo incluyan con identificadores más permanentes significa que estas aplicaciones, y los terceros con los que estén trabajando, sabrán quién eres de todos modos. Los investigadores descubrieron que este era el caso de algunas de las otras identificaciones reiniciables ofrecidas por Samsung, Xiaomi, Realme y Huawei.

Google tiene algunas reglas para desarrolladores destinadas a obstaculizar aplicaciones particularmente invasivas. Les dice a los desarrolladores que no pueden conectar el ID de anuncio único de un dispositivo con algo más persistente (como el IMEI de ese dispositivo, por ejemplo) para ningún tipo de propósito relacionado con el anuncio. Y aunque los proveedores de análisis pueden hacer ese enlace, solo pueden hacerlo con el “consentimiento explícito” del usuario.

“Si se restablece, un nuevo identificador de publicidad no debe estar conectado a un identificador de publicidad anterior o datos derivados de un identificador de publicidad anterior sin el consentimiento explícito del usuario”, explica Google en una página separada que detalla estas políticas de desarrollo. “Debe cumplir con la configuración “Inhabilitar la publicidad basada en intereses” o “Inhabilitar la personalización de anuncios” de un usuario. Si un usuario ha habilitado esta configuración, no puede utilizar el identificador de publicidad para crear perfiles de usuario con fines publicitarios o para dirigirse a los usuarios con publicidad personalizada”.

Vale la pena señalar que Google no establece reglas sobre si los desarrolladores pueden recopilar esta información, solo lo que se les permite hacer con ella una vez recopilada. Y debido a que estas son aplicaciones preinstaladas que a menudo están atascadas en tu teléfono, los investigadores descubrieron que a menudo se les permitía eludir la configuración de exclusión explícita de privacidad del usuario simplemente ... avanzando en segundo plano, independientemente si ese usuario los abrió si o no. Y sin una forma fácil de eliminarlos, esa recopilación de datos seguirá sucediendo hasta que el propietario de ese teléfono se vuelva creativo o arroje su dispositivo al océano.

Google, cuando la gente de BleepingComputer le preguntó acerca de esta recopilación de datos que no puede optar por no participar, respondió que esto es simplemente “cómo funcionan los teléfonos inteligentes modernos”:

Como se explica en nuestro artículo del Centro de ayuda de los servicios de Google Play, estos datos son esenciales para los servicios básicos del dispositivo, como las notificaciones automáticas y las actualizaciones de software, en un ecosistema diverso de dispositivos y compilaciones de software. Por ejemplo, los servicios de Google Play utilizan datos en dispositivos Android certificados para admitir las funciones principales del dispositivo. La recopilación de información básica limitada, como el IMEI de un dispositivo, es necesaria para entregar actualizaciones críticas de manera confiable en todos los dispositivos y aplicaciones de Android.

Lo cual suena lógico y razonable, pero el estudio en sí demuestra que no es toda la historia. Como parte del estudio, el equipo examinó un dispositivo equipado con / e / OS, un sistema operativo de código abierto centrado en la privacidad que se ha presentado como una versión “eliminada de Google” de Android. Este sistema intercambia las aplicaciones integradas de Android, incluida la tienda Google Play, con equivalentes gratuitos y de código abierto a los que los usuarios pueden acceder sin necesidad de una cuenta de Google. Y no lo sabrías, cuando estos dispositivos se dejaron inactivos, no enviaron “ninguna información a Google ni a otros terceros” y “esencialmente ninguna información” a los desarrolladores de / e /.

En otras palabras, este infierno de seguimiento mencionado anteriormente es claramente solo inevitable si sientes que la presencia de Google en tus teléfonos también es inevitable. Seamos honestos: es para la mayoría de los usuarios de Android. Entonces, ¿qué puede hacer un usuario de Samsung, además de, ya sabes, ser rastreado?

Bueno, puede hacer que los legisladores se preocupen, para empezar. Las leyes de privacidad que tenemos hoy, como GDPR en la UE y la CCPA en los EE. UU., están diseñadas casi exclusivamente para abordar la forma en que las empresas de tecnología manejan formas identificables de datos, como tu nombre y dirección. Los llamados datos “anónimos”, como las especificaciones de hardware o el ID de anuncio de su dispositivo, generalmente no cumplen con estas leyes, aunque generalmente se pueden usar para identificar independientemente. Y si no podemos exigir con éxito una revisión de las leyes de privacidad de nuestro país, entonces tal vez una de las muchas demandas antimonopolio masivas que Google está mirando hacia abajo en este momento haga que la compañía ponga un límite a algunas de estas prácticas invasivas.

Publicar un comentario

0 Comentarios