Estudie: las aplicaciones de teléfonos móviles ven datos privados más de lo necesario

Las aplicaciones de teléfonos móviles están accediendo a los datos privados de los usuarios y transmitiéndolo a servidores remotos de lo que parece estrictamente necesario, mientras que los usuarios tienen herramientas inadecuadas para monitorear o controlar dicho acceso, según un nuevo estudio de dos agencias gubernamentales francesas.

La Comisión Nacional de Informática y Libertad (CNIL) estudió el comportamiento de 189 aplicaciones en seis iPhones equipados con software de monitoreo y herramientas de análisis desarrollados por el Instituto Nacional Francés de Investigación en Ciencias de la Computación y Control (INRIA). El objetivo era mejorar la comprensión general de la forma en que las aplicaciones usan datos privados, no apuntar con los desarrolladores específicos, dijo la presidenta de CNIL, Isabelle Falque-Pierrotin, en una conferencia de prensa para presentar la investigación. En lugar de estudiar aplicaciones en el laboratorio condiciones, CNIL tomó un enfoque del mundo real, pidiendo a seis voluntarios que pusieran sus propias tarjetas SIM en los teléfonos y las usen como lo harían entre mediados de octubre y mediados de enero. Un voluntario descargó casi 100 aplicaciones, y una agregó solo cinco a las instaladas por Apple.

[Más información: los mejores teléfonos con Android para todos los presupuestos.]

Una de cada 12 aplicaciones accedió a la libreta de direcciones y casi una de cada tres accedió a la información de ubicación. En promedio, se hizo un seguimiento de la ubicación de los usuarios 76 veces al día durante el estudio. Foursquare y propia aplicación Mapas solicitado información sobre la ubicación de Apple la mayoría de las veces -. Tal vez sea comprensible dado su propósito con la cámara AroundMe y aplicaciones de Apple de cerca El nombre del iPhone se accedió por una aplicación en seis, algo que los investigadores encontraron inexplicable, ya que sirve casi no tiene ningún propósito y está lejos de ser un identificador único, aunque dado que a menudo contiene el nombre del usuario, podría considerarse información de identificación personal.

La aplicación de Facebook aparentemente hizo poco intento de acceder a dicha información privada, pero luego, dijeron los investigadores, que no tiene necesidad, ya que sus usuarios ya lo dicen mucho de todos modos.

investigadores de dos agencias del gobierno francés, la CNIL e INRIA, quieren dar a los usuarios de control adicional iOS de Apple sobre cómo las aplicaciones acceder a su información privada, lo que les permite revise y cambie ese acceso en cualquier momento.

Los datos a los que se tuvo más acceso en el estudio fueron el identificador universal de dispositivo (UDID) del iPhone, un número de serie permanen tly asociado con un teléfono en particular. Casi la mitad de las aplicaciones accedieron a ella, y una de cada tres lo envió a través de Internet sin cifrar. La aplicación de un periódico diario accedió al UDID 1.989 veces durante el estudio, enviándolo 614 veces a su editor.

El portavoz de CNIL Stéphane Petitcolas demostró cómo los usuarios pueden recuperar el control con una nueva herramienta de configuración para limitar cómo las aplicaciones acceden a todo tipo de información, tanto como Apple permite a los usuarios controlar el acceso a la información de ubicación hoy. Apple aún no ha visto la herramienta, pero INRIA consideraría compartir el código si la empresa estuviera interesada, dijo Claude Castelluccia, director del equipo de investigación. Los compradores de las aplicaciones de iPhone tienen poca idea de qué información o funciones accederán sus aplicaciones.. La Play Store de Google muestra a qué información y funciones accederá una aplicación, pero la opción es todo o nada. Las versiones anteriores de BlackBerry OS daban a los usuarios más libertad para elegir a qué API (interfaces de programación de aplicaciones) les permitiría acceder a una aplicación, a riesgo de romper la aplicación, pero en BlackBerry 10 ese control granular está disponible solo para aplicaciones nativas: Las aplicaciones de Android son una opción más, tómalo o déjalo.

Apple está dando pequeños pasos para dar a los usuarios ese tipo de control. En iOS 5 podrían evitar que las aplicaciones individuales accedan a su ubicación, y en iOS 6 tendrán otra opción, ya que Apple busca alejar a los desarrolladores del uso del UDID para identificar a los usuarios y orientar la publicidad.

En cambio, Apple quiere que los desarrolladores utilicen el identificador de publicidad que introdujo en iOS 6. Esto no está asociado permanentemente con un teléfono o una persona, y los usuarios que no desean ser rastreados pueden cambiarlo cuando lo deseen, siempre que lo crean. mira en Configuración / General / Acerca de / Publicidad en lugar de la Configuración / Privacidad más obvia.

Sin embargo, esa opción no estaba disponible para los participantes en el estudio CNIL-INRIA, que por razones técnicas se realizó con iOS 5. La La próxima fase de investigación usará iOS 6, ahora que INRIA ha actualizado su aplicación de monitoreo para usar la nueva versión.

Para monitorear cómo las aplicaciones accedían a información privada, INRIA tuvo que hacer jailbreak a los iPhones e instalar una aplicación especial para interceptar el Apple Las API a través de las cuales las aplicaciones solicitan acceso a información privada, dijo el investigador del INRIA Vincent Roca. Los investigadores eligieron trabajar en iPhones porque ya tenían experiencia desarrollándose para iOS. Ahora están desarrollando una aplicación con capacidades similares para teléfonos Android, que tienen que rootear para instalarla.

La aplicación de monitoreo de INRIA registró cada solicitud interceptada en una base de datos en el teléfono, junto con la información privada solicitada, para que podría identificarlo en el tráfico de red saliente. La aplicación iOS 5 solo podía monitorear el tráfico de red no encriptado, pero la versión para iOS 6 ahora puede enganchar las API de red antes de cifrar el tráfico, dijo Roca.

La aplicación también reenvió solicitudes interceptadas a un servidor central para el estudio, sin la información privada relacionada, ya que incluso los sujetos experimentales tienen derecho a su privacidad, enfatizaron los investigadores.

INRIA y CNIL apenas están empezando a analizar los datos recopilados de los seis iPhones: hay 9 gigabytes de él, cubriendo 7 millones de privacidad eventos durante el período de tres meses.

Una cosa que el estudio ya ha revelado es que algún acceso a datos privados es accidental. Una aplicación para identificar la piscina más cercana de París (la ciudad tiene 38 en un radio de aproximadamente 5 kilómetros) accedió a la información de ubicación mucho más de lo necesario para realizar su función, aparentemente debido a un error de programación, dijo Petitcolas de CNIL.