Si usa un teléfono Android y está (¡con razón!) Preocupado por la privacidad digital, probablemente ya se haya ocupado de lo básico. Te has quitado el mas snoopie de las aplicaciones de Snoopy, has optado por no rastrear siempre que sea posible y haya tomado todas las demás precauciones indicadas por el guías prácticas de privacidad populares. La mala noticia, y es posible que desee sentarse y escuchar esto, es que ninguno de esos pasos es suficiente para dejarlo completamente libre de pistas.
O al menos, esa es la idea central de un nuevo artículo de investigadores del Trinity College Dublin que analizaron los hábitos de intercambio de datos de algunas variantes populares del sistema operativo Android, incluidas las desarrolladas por Samsung, Xiaomi y Huawei. Según los investigadores, “con poca configuración” Fuera de la caja y cuando se dejaban inactivos, estos dispositivos devolvían incesantemente los datos del dispositivo a los desarrolladores del sistema operativo y a una serie de terceros seleccionados. Lo peor es que a menudo no hay forma de excluirse de este ping de datos, incluso si los usuarios así lo desean.
Gran parte de la culpa aquí, como señalan los investigadores, recae en los llamados “aplicaciones del sistema”. Estas son aplicaciones que están preinstaladas por el fabricante de hardware en un dispositivo dado para ofrecer un cierto tipo de funcionalidad: una cámara o una aplicación de mensajes son ejemplos. Android generalmente empaqueta estas aplicaciones en lo que se conoce como “memoria de solo lectura” (ROM) del dispositivo, lo que significa que no puede eliminar o modificar estas aplicaciones sin, bueno, rootear tu dispositivo. Y hasta que lo hizo, los investigadores descubrieron que constantemente enviaban datos del dispositivo a su empresa matriz y a más de unos pocos terceros, incluso si nunca abrían la aplicación.
Aquí hay un ejemplo: suponga que tiene un dispositivo Samsung que viene con algún software Microsoft preinstalado, incluido (ugh) LinkedIn. Aunque hay una buena posibilidad de que nunca abra LinkedIn Sin ninguna razón, esa aplicación encriptada hace ping constantemente a los servidores de Microsoft con detalles sobre su dispositivo. En este caso, se denominan “datos de telemetría”, que incluyen detalles como el identificador único de su dispositivo y la cantidad de aplicaciones de Microsoft que tiene instaladas en su teléfono. Estos datos también se comparten con cualquier proveedor de análisis de terceros que estas aplicaciones puedan haber conectado, lo que generalmente significa Google, como Google Analytics es el rey reinante de todas las herramientas de análisis que existen.
G / O Media puede obtener una comisión
En cuanto a las aplicaciones codificadas que puede abrir de vez en cuando, se envían aún más datos con cada interacción. Los investigadores detectaron Samsung Pass, por ejemplo, al compartir detalles como marcas de tiempo que detallan cuándo estaba usando la aplicación y por cuánto tiempo, con Google Analytics. Lo mismo pasa con Lanzador de juegos Samsung, y cada vez que abra el asistente virtual de Samsung, Bixby.
Samsung no está solo aquí, por supuesto. La aplicación de mensajería de Google que viene preinstalada en los teléfonos del competidor El Xiaomi de Samsung fue capturado compartiendo marcas de tiempo de cada interacción de usuario con Google Analytics, junto con registros de cada vez que el usuario envió un mensaje de texto. Los dispositivos Huawei fueron sorprendidos haciendo lo mismo. Y en los dispositivos en los que SwiftKey de Microsoft venía preinstalado, los registros que detallaban cada vez que se usaba el teclado en otra aplicación o en otro lugar del dispositivo se compartían con Microsoft.
Apenas hemos arañado la superficie aquí cuando se trata de lo que hace cada aplicación en cada dispositivo que estos investigadores examinaron, por lo que debería consultar el documento o, mejor aún, consulte nuestro guía práctica sobre el espionaje de datos de Android para compartir prácticas. Pero en su mayor parte, verá datos bastante, bueno, aburridos que se comparten: registros de eventos, detalles sobre el hardware de su dispositivo (como el modelo y el tamaño de la pantalla), junto con algún tipo de identificador, como el número de serie del hardware de un teléfono. e identificador de anuncios para móviles, o “AdID.”
Por sí solos, ninguno de estos puntos de datos puede identificar su teléfono como exclusivamente suyo, pero juntos forman una “huella dactilarSolo uno que se puede usar para rastrear su dispositivo, incluso si intenta optar por no participar. Los investigadores señalan que, si bien el ID de publicidad de Android puede restaurar técnicamenteEl hecho de que las aplicaciones generalmente te incluyan con identificadores más permanentes significa que estas aplicaciones, y los terceros con los que están trabajando, sabrán quién eres de todos modos. Los investigadores descubrieron que este es el caso de algunas de las otras identificaciones reiniciables que ofrecen Samsung, Xiaomi, Realme y Huawei.
Google tiene algunas reglas para desarrolladores de destino para obstaculizar aplicaciones particularmente invasivas. Les dice a los desarrolladores que no pueden conectar el ID de anuncio único de un dispositivo a algo más persistente (como el IMEI de ese dispositivo, por ejemplo) para ningún propósito relacionado con el anuncio. Y aunque los proveedores de análisis pueden establecer ese vínculo, solo pueden hacerlo con el “consentimiento explícito” del usuario.
“Si se restablece, un nuevo identificador de publicidad no debe estar conectado a un identificador de publicidad anterior o datos derivados de un identificador de publicidad anterior sin el consentimiento explícito del usuario,” explica Google en un página separada detallando estas políticas de desarrollo. “Debe cumplir con la configuración” Deshabilitar la publicidad basada en intereses “o” Deshabilitar la personalización de anuncios “para un usuario. Si un usuario ha habilitado esta configuración, no puede utilizar el identificador de publicidad para crear perfiles de usuario con fines publicitarios o para orientar a los usuarios con publicidad personalizada ”.
Vale la pena señalar que Google no establece reglas sobre si los desarrolladores pueden recopilar esta información, solo lo que pueden hacer con ella una vez recopilada. Y debido a que estas son aplicaciones preinstaladas que a menudo están bloqueadas en su teléfono, los investigadores descubrieron que a menudo se les permitía omitir la configuración de exclusión de privacidad explícita del usuario simplemente … ejecutándose en segundo plano, independientemente de si ese usuario. abierto si o no. Y sin una manera fácil de eliminarlos, esa recopilación de datos seguirá ocurriendo hasta que el propietario de ese teléfono sea Se creativo o arroje su dispositivo al océano.
Google, cuando la gente por BleepingComputer Cuando se le preguntó acerca de esta recopilación de datos que no puede excluir, respondió que esto es simplemente “cómo funcionan los teléfonos inteligentes modernos”:
Como se explica en nuestro artículo sobre la Centro de ayuda de servicios Desde Google Play, estos datos son esenciales para los servicios básicos del dispositivo, como notificaciones push y actualizaciones de software, en un ecosistema diverso de dispositivos y compilaciones de software. Por ejemplo, los servicios de Google Play utilizan datos en dispositivos Android certificados para admitir las funciones principales del dispositivo. La recopilación de información básica limitada, como el IMEI de un dispositivo, es necesaria para entregar actualizaciones críticas de manera confiable en todos los dispositivos y aplicaciones Android.
Lo cual suena lógico y razonable, pero el estudio en sí muestra que no es toda la historia. Como parte del estudio, el equipo examinó un dispositivo equipado con / e / OS, un sistema operativo de código abierto centrado en la privacidad que se ha lanzado como un “eliminado de Google”Desde Android. Este sistema intercambia las aplicaciones de Android integradas, incluida la tienda Google Play, con equivalentes de código abierto y gratuito a los que los usuarios pueden acceder sin necesidad de una cuenta de Google. Y no lo sabría, cuando estos dispositivos se dejaron inactivos, no enviaron “ninguna información a Google u otros terceros” y “esencialmente ninguna información” a los desarrolladores de / e /.
En otras palabras, este infierno de rastreo antes mencionado es claramente solo inevitable si siente que la presencia de Google en sus teléfonos también es inevitable. Seamos honestos: es para la mayoría de los usuarios de Android. Entonces, ¿qué puede hacer un usuario de Samsung, además, ya sabes, ser rastreado?
Bueno, para empezar, puede hacer que los legisladores se preocupen. Las leyes de privacidad que tenemos hoy, como GDPR en la UE y el CCPA En los EE. UU., Están diseñados casi exclusivamente para abordar cómo las empresas de tecnología manejan formas identificables de datos, como su nombre y dirección. Así llamado “anónimo” Los datos, como las especificaciones de hardware de su dispositivo o la identificación de publicidad, generalmente no cumplen con estas leyes, aunque generalmente se puede usar para identificarse de forma independiente. Y si no podemos exigir con éxito una revisión de las leyes de privacidad de nuestro país, entonces quizás uno de los muchas demandas antimonopolio Las enormes cantidades que Google está mirando hacia abajo en este momento hacen que la compañía ponga un límite a algunas de estas prácticas invasivas.
