Si usa un teléfono Android y está (¡con razón!) Preocupado por la privacidad digital, probablemente ya se haya ocupado de lo básico. Ha eliminado la más snoopie de las aplicaciones snoopy, ha optado por no rastrear siempre que sea posible y ha tomado todas las demás precauciones que le han indicado las populares guías de privacidad . La mala noticia, y es posible que desee sentarse a escuchar esto, es que ninguno de esos pasos es suficiente para estar completamente libre de rastreadores.
O al menos, esa es la idea central de un nuevo artículo de investigadores del Trinity College en Dublín que analizaron los hábitos de intercambio de datos de algunas variantes populares del sistema operativo Android, incluidas las desarrolladas por Samsung, Xiaomi y Huawei. Según los investigadores, "con poca configuración" desde el primer momento y cuando se dejaban inactivos, estos dispositivos enviarían incesantemente los datos del dispositivo a los desarrolladores del sistema operativo ya una gran cantidad de terceros seleccionados. Y lo que es peor es que a menudo no hay forma de excluirse de este ping de datos, incluso si los usuarios así lo desean.
Gran parte de la culpa aquí, como señalan los investigadores, recae en las llamadas " aplicaciones del sistema ". Estas son aplicaciones que vienen preinstaladas por el fabricante del hardware en un dispositivo determinado para ofrecer un cierto tipo de funcionalidad: una cámara o una aplicación de mensajes son ejemplos. Android generalmente empaqueta estas aplicaciones en lo que se conoce como "memoria de solo lectura" (ROM) del dispositivo, lo que significa que no puede eliminar o modificar estas aplicaciones sin, bueno, rootear su dispositivo . Y hasta que lo haga, los investigadores descubrieron que constantemente enviaban datos del dispositivo a su empresa matriz y a más de unos pocos terceros, incluso si nunca abría la aplicación.
Aquí hay un ejemplo: digamos que posee un dispositivo Samsung que está empaquetado con algún bloatware de Microsoft preinstalado, incluido (ugh) LinkedIn. Aunque hay una buena posibilidad de que nunca abra LinkedIn por ningún motivo, esa aplicación codificada está constantemente haciendo ping a los servidores de Microsoft con detalles sobre su dispositivo. En este caso, se trata de los llamados "datos de telemetría", que incluyen detalles como el identificador único de su dispositivo y la cantidad de aplicaciones de Microsoft que ha instalado en su teléfono. Estos datos también se comparten con cualquier proveedor de análisis de terceros que estas aplicaciones puedan haber conectado, lo que generalmente significa Google, ya que Google Analytics es el rey reinante de todas las herramientas de análisis que existen.
En cuanto a las aplicaciones codificadas de forma rígida que puede abrir de vez en cuando, se envían incluso más datos con cada interacción. Los investigadores captaron Samsung Pass, por ejemplo, compartiendo detalles como marcas de tiempo que detallan cuándo estaba usando la aplicación y por cuánto tiempo, con Google Analytics. Lo mismo ocurre con Game Launcher de Samsung , y cada vez que abres el asistente virtual de Samsung, Bixby .
Samsung no está solo aquí, por supuesto. La aplicación de mensajería de Google que viene preinstalada en los teléfonos del competidor de Samsung , Xiaomi, fue atrapada compartiendo marcas de tiempo de cada interacción del usuario con Google Analytics, junto con registros de cada vez que ese usuario envió un mensaje de texto. Los dispositivos Huawei fueron sorprendidos haciendo lo mismo. Y en los dispositivos en los que SwiftKey de Microsoft venía preinstalado, los registros que detallaban cada vez que se usaba el teclado en otra aplicación o en otro lugar del dispositivo se compartían con Microsoft.
Apenas hemos arañado la superficie aquí cuando se trata de lo que hace cada aplicación en cada dispositivo que estos investigadores examinaron, por lo que debería consultar el documento o, mejor aún, consultar nuestra práctica guía sobre el espionaje de datos de Android. compartir prácticas usted mismo. Pero en su mayor parte, verá que se comparten datos que se ven bonitos, bueno, aburridos: registros de eventos, detalles sobre el hardware de su dispositivo (como el modelo y el tamaño de la pantalla), junto con algún tipo de identificador, como el hardware de un teléfono número de serie e identificador de anuncio para móviles, o "AdID".
Por sí solos, ninguno de estos puntos de datos puede identificar su teléfono como exclusivamente suyo, pero en conjunto, forman una " huella digital " única que se puede utilizar para rastrear su dispositivo, incluso si intenta optar por no participar. Los investigadores señalan que, si bien el ID de publicidad de Android se puede restablecer técnicamente , el hecho de que las aplicaciones generalmente lo incluyan con identificadores más permanentes significa que estas aplicaciones, y los terceros con los que estén trabajando, sabrán quién es usted de todos modos. Los investigadores descubrieron que este era el caso de algunas de las otras identificaciones reiniciables ofrecidas por Samsung, Xiaomi, Realme y Huawei.
A su favor, Google hace tener algunas reglas para desarrolladores destinadas a obstaculizar aplicaciones particularmente invasivas. Les dice a los desarrolladores que no pueden conectar la ID de anuncio única de un dispositivo con algo más persistente (como el IMEI de ese dispositivo, por ejemplo) para ningún tipo de propósito relacionado con la publicidad. Y mientras que los proveedores de análisis se les permite hacer que el ligarse, sólo pueden hacerlo con un usuario de “consentimiento explícito.”
"Si se restablece, un nuevo identificador de publicidad no debe estar conectado a un identificador de publicidad anterior o datos derivados de un identificador de publicidad anterior sin el consentimiento explícito del usuario", explica Google en una página separada que detalla estas políticas de desarrollo. “Debe cumplir con la configuración 'Inhabilitar publicidad basada en intereses' o 'Inhabilitar personalización de anuncios' de un usuario. Si un usuario ha habilitado esta configuración, no puede utilizar el identificador de publicidad para crear perfiles de usuario con fines publicitarios o para dirigirse a los usuarios con publicidad personalizada ".
Vale la pena señalar que Google no establece reglas sobre si los desarrolladores pueden recopilar esta información, solo qué pueden hacer con ella una vez recopilada. Y debido a que estas son aplicaciones preinstaladas que a menudo están atascadas en su teléfono, los investigadores descubrieron que a menudo se les permitía eludir la configuración de exclusión explícita de privacidad del usuario simplemente ... avanzando en segundo plano, independientemente de si o no ese usuario los abrió. Y sin una forma fácil de eliminarlos, esa recopilación de datos seguirá sucediendo (y seguirá sucediendo) hasta que el propietario de ese teléfono se vuelva creativo con el enraizamiento o arroje su dispositivo al océano.
Google, cuando la gente de BleepingComputer le preguntó sobre esta recopilación de datos que no se puede optar por no participar, respondió que esto es simplemente "cómo funcionan los teléfonos inteligentes modernos":
Como se explica en nuestro artículo del Centro de ayuda de los servicios de Google Play , estos datos son esenciales para los servicios básicos del dispositivo, como las notificaciones automáticas y las actualizaciones de software en un ecosistema diverso de dispositivos y compilaciones de software. Por ejemplo, los servicios de Google Play utilizan datos en dispositivos Android certificados para admitir las funciones principales del dispositivo. La recopilación de información básica limitada, como el IMEI de un dispositivo, es necesaria para entregar actualizaciones críticas de manera confiable en todos los dispositivos y aplicaciones Android.
Lo cual suena lógico y razonable, pero el estudio en sí demuestra que no es toda la historia. Como parte del estudio, el equipo examinó un dispositivo equipado con / e / OS, un sistema operativo de código abierto centrado en la privacidad que se ha presentado como una versión " eliminada de Google " de Android. Este sistema intercambia las aplicaciones integradas de Android, incluida la tienda Google Play, con equivalentes gratuitos y de código abierto a los que los usuarios pueden acceder sin necesidad de una cuenta de Google. Y no lo sabría, cuando estos dispositivos se dejaban inactivos, no enviaban "ninguna información a Google ni a otros terceros" y "esencialmente ninguna información" a los desarrolladores de / e /.
En otras palabras, este infierno de seguimiento mencionado anteriormente es claramente solo inevitable si siente que la presencia de Google en sus teléfonos también es inevitable. Seamos honestos aquí, es para la mayoría de los usuarios de Android. Entonces, ¿qué puede hacer un usuario de Samsung, además, ya sabes, ser rastreado?
Bueno, puede hacer que los legisladores se preocupen, para empezar. Las leyes de privacidad que tenemos en los libros hoy, como GDPR en la UE y la CCPA en los EE. UU., Están diseñadas casi exclusivamente para abordar la forma en que las empresas de tecnología manejan formas identificables de datos, como su nombre y dirección. Los llamados datos "anónimos", como las especificaciones de hardware de su dispositivo o la identificación del anuncio, generalmente no cumplen con estas leyes, aunque generalmente se pueden usar para identificarlo independientemente. Y si no podemos exigir con éxito una revisión de las leyes de privacidad de nuestro país, entonces tal vez uno de los muchos juicios antimonopolio masivos que Google está mirando hacia abajo en este momento haga que la compañía ponga un límite a algunas de estas prácticas invasivas.
[Fuente]: gizmodo.com
Gandara, J.( 12 de Octubre de 2021).women's bl...[Fotografía]. Recuperado unsplash.com