Investigadores de la Universidad de Edimburgo en Reino Unido y del Colegio Trinity en Dublín publicaron un extenso análisis sobre software preinstalado, potencialmente peligroso para la privacidad de los usuarios, en teléfonos producidos en China. El documento examina los datos transmitidos por aplicaciones preinstaladas en teléfonos inteligentes Android de tres de los fabricantes más populares de China (Liu, Leith, & Patras, 2023).
Las aplicaciones transmiten información sensible para la privacidad relacionada con el dispositivo del usuario, la geolocalización, el perfil del usuario y las relaciones sociales sin consentimiento o notificación.
Lo anterior plantea serios riesgos de desanonimización y seguimiento que se extienden fuera de China cuando el usuario abandona el país y exige una aplicación más rigurosa de la recientemente adoptada legislación de protección de datos.
Los teléfonos inteligentes con firmware CN recopilan una amplia gama de información personal identificable (PII) en comparación con los teléfonos inteligentes con firmware Global. Esto incluye información de geolocalización, perfil de usuario y relaciones sociales.
El usuario generalmente no se notifica sobre la transmisión de estos datos y no se le ofrece la opción de rechazarlos. Los datos son recopilados por los fabricantes de teléfonos, proveedores de clima y navegación y dominios de terceros.
El identificador persistente más frecuentemente recopilado es el IMEI. Este trabajo estudia la versión china del sistema operativo Android distribuido por los teléfonos inteligentes Xiaomi, Oppo Realme y OnePlus. Se encontró que estos dispositivos vienen con una serie de aplicaciones de terceros, algunas de las cuales reciben permisos de ejecución peligrosos por defecto sin el consentimiento del usuario y transmiten tráfico que contiene una amplia gama de información PII a los fabricantes de teléfonos y dominios de terceros, sin notificar al usuario ni ofrecer la opción de optar por no hacerlo.
Esto destaca grandes diferencias en términos de cómo se aplican las disposiciones de privacidad en diferentes regiones.
¿Cómo se estableció el modelo de amenazas?
El modelo de amenazas se centra en la configuración de seguridad vulnerable que existe a gran escala en el firmware Android personalizado, lo que potencialmente puede conducir a una serie de ataques de privacidad, como el robo de correos electrónicos y la alteración de la configuración del sistema sin los permisos adecuados (Yousra, Zhang, & Du, 2016).
Además, se encontró que, debido a la personalización del proveedor, más del 80% de los paquetes preinstalados están sobreprivilegiados, algunos de los cuales pueden explotarse para ataques de reasignación de permisos o fugas de privacidad (Lei, Grace, Zhou, Wu, & Jiang, 2013). La personalización de los controladores de dispositivos por parte de Samsung se ha encontrado que subyace a varios ataques (Yang, y otros, 2013) (Yen, Xie, Yu, Yu, & Abadi, 2012) (Zhou, Lee, Zhang, Naveed, & Wang, 2014).
¿Qué experimentos se realizaron para el estudio?
Los experimentos realizados incluyeron un análisis estático para estudiar las diferencias entre los paquetes instalados y los permisos solicitados en cada teléfono, así como un análisis dinámico a través de la instrumentación de código y el análisis de tráfico para descubrir si se filtraba información sensible del usuario a los servidores de back-end. Además, se estableció una conexión de túnel entre el campus de la Universidad de Edimburgo y el Colegio Trinity, y una instancia de Huawei Cloud en Shanghái para simular a un usuario local.
¿Cuáles fueron los dispositivos utilizados en el estudio?
Los dispositivos utilizados en el estudio fueron los teléfonos inteligentes OnePlus, Xiaomi y Oppo Realme, los cuales fueron adquiridos en el mercado chino. Estos teléfonos se configuraron con el idioma chino para simular a un usuario local.
¿Cuál fue el resultado de los experimentos?
Los resultados de los experimentos mostraron que los fabricantes de teléfonos inteligentes otorgan permisos de tiempo de ejecución por defecto a los paquetes de terceros preinstalados. Además, se descubrió que los fabricantes recopilan una variedad de información personalmente identificable (PII) y la transmiten a servidores de back-end sin notificar al usuario. Por último, también se determinó que los fabricantes recopilan información de ubicación, perfil de usuario y relaciones sociales.
Conclusiones
La principal conclusión de este estudio es que los fabricantes de teléfonos inteligentes chinos otorgan permisos de tiempo de ejecución por defecto a los paquetes de terceros preinstalados, lo que permite a estos paquetes recopilar y transmitir información personalmente identificable (PII) sin notificar al usuario. Esto sugiere que los usuarios de teléfonos inteligentes chinos no tienen control sobre la información que se recopila y comparte con los fabricantes.
Además de la principal conclusión, también se descubrió que los fabricantes de teléfonos inteligentes chinos preinstalan un número significativamente mayor de aplicaciones de terceros que los fabricantes de teléfonos inteligentes globales, y que estas aplicaciones reciben un número significativamente mayor de permisos, incluidos muchos permisos clasificados como peligrosos. Esto sugiere que los usuarios de teléfonos inteligentes chinos tienen menos control sobre la información que se recopila y comparte con los fabricantes.
Existe un riesgo para los compradores o usuarios extranjeros. Los datos recopilados por los fabricantes de teléfonos inteligentes chinos no cambian cuando los dispositivos se mueven fuera de China, lo que significa que los fabricantes de teléfonos y algunos terceros todavía pueden rastrear a los viajeros de negocios y estudiantes que estudian en el extranjero, incluidos los contactos extranjeros que hacen en sus visitas. Esto plantea serios riesgos de desanonimización y seguimiento de usuarios.
La sugerencia es que los usuarios de teléfonos inteligentes chinos sean conscientes de los riesgos de privacidad y seguridad que conlleva el uso de estos dispositivos. Se recomienda encarecidamente que los usuarios restrinjan el uso de aplicaciones preinstaladas y deshabiliten los permisos de ubicación y otros permisos sensibles. Además, se recomienda que los usuarios instalen una aplicación de seguridad para ayudar a proteger sus datos.
Referencias
- Lei, W., Grace, M., Zhou, Y., Wu, C., & Jiang, X. (2013). The Impact of Vendor Customizations on Android Security. ACM SIGSAC Conference on Computer and Communications Security (págs. 623-634). Berlín: ACM SIGSAC. doi:10.1145/2508859.2516728
- Liu, H., Leith, D., & Patras, P. (3 de Febrero de 2023). Android OS Privacy Under the Loupe — A Tale from the East. arXiv, 1-12. doi:10.48550/ARXIV.2302.01890
Yang, Z., Yang, M., Zhang, Y., Gu, G., Ning, P., & Wang, X. (2013). Appintent: Analyzing sensitive data transmission in android for privacy leakage detection. Proceedings of the 2013 ACM SIGSAC conference on Computer & communications security (págs. 1043-1054). Berlín: ACM SIGSAC. doi:10.1145/2508859.2516676 - Yen, T.-F., Xie, Y., Yu, F., Yu, R., & Abadi, M. (2012). Host Fingerprinting and Tracking on the Web:Privacy and Security Implications. Network and Distributed System Security Symposium (págs. 1-16). Silicon Valley, California: Microsoft RSA Laboratories. Recuperado el 15 de Febrero de 2023, de https://www.microsoft.com/en-us/research/wp-content/uploads/2012/02/ndss2012.pdf
- Yousra, A., Zhang, X., & Du, W. (2016). Harvesting Inconsistent Security Configurations in Custom Android ROMs via Differential Analysis. 25th USENIX Security Symposium (págs. 1153-1168). Austin, Texas: USENIX, The Advanced Computing Systems Association. Recuperado el 15 de Febrero de 2023, de https://www.usenix.org/system/files/conference/usenixsecurity16/sec16_paper_aafer.pdf
- Zhou, X., Lee, Y., Zhang, N., Naveed, M., & Wang, X.-F. (2014). The Peril of Fragmentation: Security Hazards in Android Device Driver Customizations. 2014 IEEE Symposium on Security and Privacy (págs. 409-423). IEEE Xplore. doi:10.1109/SP.2014.33