Un trabajo de investigación publicado esta semana ha analizado el uso actual de una característica menos conocida del sistema operativo Android que podría ser un peligro para la privacidad del usuario.
El estudio descubrió que muchas de las principales aplicaciones de Android de la actualidad utilizan IAM (métodos de aplicación instalados), un conjunto de llamadas a la API del sistema operativo Android que permiten a los desarrolladores de aplicaciones obtener una lista de otras aplicaciones instaladas en el dispositivo.
Google inicialmente creó estas llamadas a la API [1, 2] para permitir a los desarrolladores detectar incompatibilidades de aplicaciones o ajustar las interacciones con otras aplicaciones. Sin embargo, el estudio publicado esta semana sugiere que los IAM también se están utilizando para rastrear y tomar huellas dactilares de los usuarios, lo que representa un riesgo de privacidad palpable.
El peligro para la privacidad del usuario proviene del hecho de que un anunciante podría inferir intereses y rasgos personales (género, idiomas hablados, creencias religiosas, grupos de edad) al analizar la lista de aplicaciones instaladas de un usuario.
Además, también existe el problema de que los usuarios no pueden protegerse contra las huellas dactilares basadas en IAM. Esto se debe a que las llamadas de IAM son "métodos silenciosos", lo que significa que una aplicación no necesita pedir permiso al usuario antes de ejecutarse.
Además, muchas llamadas de IAM también se ejecutan sin el conocimiento del desarrollador de la aplicación. Si una aplicación admite un paquete de análisis o una biblioteca publicitaria, los investigadores descubrieron que muchos de ellos ejecutaban llamadas silenciosas a la API de IAM sin que el desarrollador de la aplicación se diera cuenta de que esto estaba sucediendo.
Analizando miles de aplicaciones
El documento de investigación publicado esta semana examinó por primera vez todos estos ángulos y cuantificó las estadísticas de uso de IAM en el ecosistema de Android.
Esta monumental tarea fue llevada a cabo por un equipo de cuatro académicos de universidades de Suiza, Italia y Holanda. El equipo de investigación dijo que analizó miles de aplicaciones de Android y su código respectivo, buscando llamadas a la API de IAM, independientemente de su ubicación: el código de la aplicación o una biblioteca de terceros.
Los investigadores dijeron que analizaron 14,342 aplicaciones de Android publicadas en las principales categorías de Google Play Store y otro conjunto de 7,886 aplicaciones de Android que tenían su código fuente publicado en línea.
Según el equipo de investigación, el uso de IAM es bastante común en aplicaciones comerciales, con un 30.29% (4,214) de las aplicaciones de Play Store que realizan llamadas IAM dentro de su código. Para las aplicaciones de código abierto, este número fue solo del 2.89% (228 aplicaciones).
Pero el equipo de investigación no solo estudió qué aplicaciones realizaban llamadas de IAM, sino que también analizó la llamada de IAM que hacía cada aplicación en un intento de comprender cómo y qué intentaban lograr los desarrolladores de aplicaciones a través de esta función.
La siguiente tabla dice mucho.
Muestra que casi la mitad de todas las llamadas grabadas de IAM encontradas tanto en Play Store como en aplicaciones de código abierto fueron para la llamada packageName IAM, que recupera una lista de aplicaciones instaladas localmente.
Todas las demás llamadas de IAM tenían un porcentaje de uso de menos del 15%, y la mayoría era inferior al 1%. La mayoría de estos son llamadas de IAM para obtener detalles técnicos de la aplicación, como firmas, versiones de la aplicación, últimos tiempos de actualización o números de versión del SDK.
Estas llamadas se utilizan a menudo para depurar aplicaciones, el objetivo principal y la razón por la que se creó la API de IAM en primer lugar.
Sin embargo, la gran cantidad de consultas para el packageName IAM sugiere que muchas aplicaciones obtienen una lista de aplicaciones instaladas localmente y luego no hacen nada más, lo que indica un tipo de comportamiento de "colección" por parte de esas aplicaciones.
Este descubrimiento de que las llamadas de IAM probablemente se usan para la recopilación de datos en lugar de la depuración real se confirmó más tarde cuando el equipo de investigación también examinó la ubicación del código que ejecutó la llamada de IAM.
Lo que descubrieron los investigadores fue que la mayoría de las llamadas de IAM provenían de bibliotecas de terceros agregadas a aplicaciones, en lugar de las aplicaciones en sí.
“Se detectaron un total de 7,538 y 287 llamadas a IAM en aplicaciones comerciales y de código abierto, respectivamente (algunas aplicaciones realizan más de una llamada)”, dijo el equipo de investigación.
“El uso de IAM en las bibliotecas incluidas parece ser más común en las aplicaciones comerciales, donde 6,306 (83.66%) de las llamadas detectadas se realizan en código que pertenece a bibliotecas, mientras que las 1,232 (16.34%) restantes se realizan en el propio código de las aplicaciones, ”Dijeron los investigadores. "Con respecto a las aplicaciones de código abierto, 178 usos (62.02%) se realizan desde bibliotecas empaquetadas, mientras que los 109 restantes (37.98%) pertenecen al código propio de las aplicaciones".
Según el equipo de investigación, más de un tercio de las bibliotecas de terceros que descubrieron que ejecutaban llamadas IAM se utilizaron con fines publicitarios, lo que confirma que las llamadas IAM ahora se están utilizando como un mecanismo de recopilación de datos del usuario.
Un cuestionario de seguimiento con 70 desarrolladores de aplicaciones también encontró que muchos desarrolladores ni siquiera sabían que las bibliotecas de terceros que usaban en sus aplicaciones realizaban llamadas IAM.
“No sabíamos que se usaba en absoluto”, dijo uno de los desarrolladores que respondió a los investigadores y completó el cuestionario.
“No lo estamos usando. API de terceros? Si puedes decirme cuál te lo quitaré ”, dijo otro.
En el futuro, el equipo de investigación insta a Google a restringir el uso de llamadas a la API de IAM. Según el equipo de investigación, el mejor de los casos sería si Google pusiera las llamadas de IAM bajo una solicitud de permiso. Las solicitudes de permisos son ventanas emergentes que le preguntan al usuario si una aplicación puede realizar una acción; en este caso, permita que la aplicación recupere una lista de todas sus otras aplicaciones.
Más detalles sobre esta investigación están disponibles en un artículo de investigación titulado “¡Deja mis aplicaciones solas! Un estudio sobre cómo los desarrolladores de Android acceden a las aplicaciones instaladas en el dispositivo del usuario, ”Que se presentará este otoño en la conferencia MOBILESoft 2020 en Seúl, Corea del Sur.
