LOGO_AIR_IAB_N_HD.jpg

Así revelan las ‘apps’ de Android nuestros secretos sin que lo sepamos

Una nueva investigación descubre cómo empresas de publicidad tienen acceso a registros de datos que dejan los programadores en las entrañas de los móviles.

El rastreo digital fue uno de los éxitos efímeros de la pandemia. En España, Radar Covid nació, creció, falló y murió rápido. La idea nunca cuajó por muchos motivos, pero uno que le dio la puntilla fue que, a pesar de todas las promesas iniciales de seguridad y privacidad, un error de Google provocaba que los datos se escaparan en móviles Android por un lugar insospechado: los registros de actividad (logs, en inglés) de las apps. Ahora una nueva investigación ha descubierto que por ese agujero se sigue escapando información privada de los usuarios de Android, a la que tienen acceso más empresas de las que deberían.

“Esta investigación descubre un agujero muy importante, que no está bien regulado ni estudiado”, dice Carmela Troncoso, investigadora de la Escuela Politécnica Federal de Lausana (Suiza) que lideró un grupo europeo encargado de la creación de las aplicaciones de rastreo en 2020. “Pero es un problema general, en las apps de rastreo y en todo. La conclusión es que no puedes hacer algo privado por diseño en una plataforma como Android, que es defectuosa por definición”.

Los logs son un largo y exhaustivo diario que recopila lo que ocurre en una app. Su uso original y aceptado es detectar bugs (errores en el código) antes de lanzar las apps al público. Pero, en realidad, no es eso lo único que ocurre. Google pide a los desarrolladores de apps que retiren los logs una vez que las aplicaciones están publicadas, porque pueden contener información sensible. Y la reciente investigación demuestra que siguen ahí, y que en ellos puede encontrarse de todo.

“Encontramos que los logs no tienen información puramente técnica, sino que por descuido o de forma intencionada también pueden contener datos personales o información que revela la actividad del usuario”, dice Juan Tapiador, catedrático de la Universidad Carlos III y uno de los autores del artículo. “Un ejemplo es el caso de Microsoft Teams o Discord, o las apps farmacéuticas CVS y Drug Mart, que tienen unas actividades que dan mucha información. En el caso de Teams es posible saber, por ejemplo, el momento exacto en que has realizado una llamada. En el caso de CVS y Drug Mart se almacenan, entre otros datos, las categorías de productos que se usan para filtrar los resultados de búsqueda”. Así queda registrado el tipo de producto farmacéutico que alguien busca, desde anticonceptivos a pastillas para el colesterol.

El permiso para acceder a esa extensa información privada personal en Android está limitado a Google, a los fabricantes de los dispositivos y a las apps preinstaladas que esos fabricantes han querido colocar ahí. Entre ellas, hay empresas que se dedican a la publicidad. El botín al que tienen acceso en las tripas de los móviles Android es difícil de calcular. Por ahí corren todas las apps, y puede haber desde nuestra localización a nuestros intereses o nuestras relaciones amorosas.

Android se basa en un proyecto de código abierto mantenido por Google. Pero no es un ecosistema cerrado como el de los iPhone de Apple. “Cualquier fabricante de teléfonos puede introducir cambios en el sistema operativo y apps de otras organizaciones con las que tenga acuerdos comerciales, incluso apps de empresas que forman parte de la industria basada en la comercialización de datos personales y publicidad”, dice Narseo Vallina-Rodríguez, investigador de Imdea Networks y cofundador de AppCensus, dedicada al análisis de la privacidad en las aplicaciones móviles. “El gran problema es que esas apps preinstaladas son parte del sistema operativo y pueden acceder de forma privilegiada a datos y recursos sensibles a los que una app normal no puede acceder, como es el caso de los logs del sistema desde la versión Android 4.1″.

Una jungla de ‘hardware’ y ‘software’

Es un equilibrio complejo en un panorama caótico. Los dispositivos Android viven en un entorno similar a una jungla, donde docenas de empresas tratan de extirpar datos y beneficios sin el conocimiento del usuario. “Los riesgos de seguridad y privacidad derivados de la cadena de suministro son complejos de resolver. En la fabricación de un producto y de todo el software que incluye intervienen muchas partes, a veces con relaciones complejas entre sí, y donde los riesgos de una entidad pueden ser heredados fácilmente por otras”, dice Juan Tapiador.

A preguntas de EL PAÍS, una portavoz de Google respondió que intentan hacerlo todo a la vez: proteger al usuario y dar más posibilidades a los desarrolladores de las apps. “La seguridad y privacidad del usuario es una prioridad principal para Android. Apreciamos mucho la investigación de la comunidad que ayuda a que Android sea seguro. Realizamos mejoras constantes en las funciones de Android para garantizar que los datos de los usuarios estén seguros y sean privados, al mismo tiempo que permitimos a los desarrolladores crear las mejores aplicaciones posibles”, dice la portavoz.

Google admite a este periódico que todas las aplicaciones que tienen acceso a los registros del dispositivo son aplicaciones autorizadas por los fabricantes de dispositivos, con lo que traslada parte de la responsabilidad de las intromisiones que puedan surgir a otros actores.

“Me sorprendió genuinamente el nivel de datos confidenciales registrados por los fabricantes de dispositivos de hardware”, dice Serge Egelman, investigador de la Universidad de California, en Berkeley (EE UU) y también cofundador de AppCensus. “Si estos dispositivos están siendo certificados por Google como dispositivos Android oficiales, realmente debe haber cierta supervisión de que están siguiendo las políticas de Google y las mejores prácticas básicas”.

Pero nadie vigila ni asegura que esa información no esté ahí o no sea accesible a actores que puedan potencialmente hacer un mal uso de la información privada de usuarios. Bart Preneel, catedrático de la Universidad Católica de Lovaina y director técnico de la app belga de rastreo digital Coronalert, describe el problema en tres puntos: “Uno, se facilita a los desarrolladores el registro de mucha información, y la mayoría contiene datos confidenciales, en particular si se combinan los registros de varias aplicaciones. Dos, esta información es útil para Google y para los fabricantes. Pero muchas otras aplicaciones autorizadas por ellos también tienen acceso, así que el riesgo de abuso es muy alto: permite la creación de perfiles de usuario por parte de un gran número de partes. Y tres, Google advierte a los desarrolladores que no registren demasiado, pero los desarrolladores hacen esto de todos modos, y no se vigila”, dice Preneel.

Un remedio insuficiente de Google

En este caso la información que aparece en los logs no debería en realidad estar ahí. Hace años que los consejos de Android tratan de evitar incluir actividad privada en esos registros. Pero ni se controla ni se vigila y para los desarrolladores de aplicaciones y fabricantes el problema no es directamente suyo. Es un ejemplo claro de que la peor parte se la lleva el usuario, que no sabe nada de lo que ocurre. Es software que ya está ahí cuando le llega a las manos, dentro de su móvil.

Tras tener conocimiento de la investigación, Google ha introducido una advertencia para los usuarios en la versión 13 de Android: “Los mecanismos que ha introducido Google en Android 13 para mejorar la transparencia e informar a usuarios sobre el acceso a los logs por apps preinstaladas son un buen paso”, dice Vallina-Rodríguez. “Permitirán que los usuarios puedan controlar cuando y quién puede acceder a esta información. No obstante, la mejora del sistema de permisos solo mitiga este problema concreto, y no puede abordar los problemas generales asociados con la falta de control sobre la cadena de suministro de los productos digitales”, añade. Es un remedio insuficiente, añade Preenel: “Es solo un parche, la mayoría de usuarios no tienen ni el tiempo ni las ganas de controlar este tipo de configuraciones”.

Google no tiene obviamente toda la responsabilidad aquí. Los desarrolladores de apps deberían ser más cuidadosos con la información que permiten que aparezca en los logs y saber que no son los únicos que tienen acceso a esa información: “Los creadores de aplicaciones podrían registrar menos datos”, sugiere Joel Reardon, investigador de la Universidad de Calgary y cofundador de AppCensus. “Muchas apps usan servicios como Crashlytics para recopilar registros de errores, lo que les permite depurar con la app ya desplegada. Antes, los usuarios de ese tipo de software se llamaban probadores beta y la participación era voluntaria. Si los creadores de aplicaciones no tienen la intención de mirar los registros, hay muchas menos razones para registrar tantos datos como hemos encontrado”.

 

Fuente: El País