Una investigación revela que es posible tomar el control de un celular de manera remota para rastrear y espiar al usuario.
Desde las leyendas urbanas hasta las nuevas series de espionaje describen situaciones en las que las personas son espiadas a través de la activación remota y clandestina del micrófono del celular, o de las cámaras, e incluso detectan la ubicación de la persona aun cuando el dispositivo está apagado. Pero ¿es posible semejante intervención sobre la privacidad de las personas?
Una investigación reciente sobre el software preinstalado en los celulares con sistema operativo Android, desarrollada por el Instituto IMDEA, la Universidad Carlos III de Madrid y la Stony Brook University, revela hasta qué punto son vulnerables los dispositivos que emplean Android, que es el sistema operativo desarrollado por Google, y los escasos niveles de verificación sobre las características de los sistemas que corren dentro del celular desde el momento en que lo encendemos por primera vez.
El trabajo, cuyo título en inglés es An Analysis of Pre-installed Android Software (Un análisis del software de Android preinstalado), investigó las aplicaciones que los fabricantes de celulares incorporan al sistema operativo y puso de relieve la falta de control que existe sobre la seguridad de esos programas.
Android, lo bueno y lo malo de ser abierto
La investigación remarca que la condición de software abierto de Android, es decir, que pueda ser tomado y adaptado libremente por cualquiera, implica una vulnerabilidad a la seguridad de los equipos en la medida en que no existen instancias de aprobación externa adecuadas sobre lo que cada fabricante desarrolla para cada equipo.
A diferencia de lo que ocurre en el repositorio oficial de Android, Google Play Store, donde las aplicaciones deben certificar condiciones mínimas de seguridad y además están obligadas a preguntarle al usuario qué autorizaciones está dispuesto a otorgarle para acceder a información privada, en el mundo de las aplicaciones preinstaladas tales protocolos no existen, volviendo a los teléfonos mucho más susceptibles de convertirse en instrumentos para la violación de la intimidad.
Los investigadores plantean que fabricantes de equipos, operadores de redes móviles, desarrolladores de software preinstalado y otros actores interesados con forman un ecosistema que “ha permanecido en gran medida inexplorado debido a la dificultad inherente para acceder a dicho software a escala y entre proveedores”, y destaca que estos programas, que normalmente no están disponibles en las tiendas de aplicaciones, han escapado en su mayoría al escrutinio de investigadores y reguladores, y que la mayoría de los usuarios desconocen su presencia en el dispositivo, lo que podría implicar una falta de consentimiento en la recopilación de datos y otros comportamientos potencialmente no deseados.
El trabajo demuestra que hay prácticas de ingeniería de software deficientes y falta de transparencia en la cadena de suministro, lo que aumenta innecesariamente los riesgos de seguridad y privacidad.
Certificados confusos y desarrolladores ocultos
Con el empleo de software específico para el rastreo de certificados y características de las aplicaciones instaladas, observaron que muchos de ellos contaban con certificados confusos o deficientes que ocultaban a los verdaderos responsables de su desarrollo, y que además no superaban los controles mínimos que establecería Google Play.
“Descubrimos que solo el 9% de los nombres de paquetes en nuestro conjunto de datos están indexados en Google Play Store … La baja presencia de aplicaciones preinstaladas en la tienda sugiere que este tipo de software podría haber escapado a cualquier escrutinio por parte de la comunidad de investigación”, detalla el informe, que además precisa que han “encontrado ejemplos de aplicaciones preinstaladas desarrolladas por organizaciones prominentes que no están disponibles públicamente en Google Play. Por ejemplo, el software desarrollado y firmado por Facebook (com.facebook.appmanager), Amazon, y CleanMaster entre otros. Del mismo modo, encontramos versiones no públicas disponibles de los navegadores web populares (por ejemplo, UME Browser, Opera)”.
Además, precisan que existe una gran cantidad de actores involucrados en el desarrollo del software preinstalado, desde fabricantes de hardware, operadores de redes móviles, servicios de seguimiento y publicidad de terceros. Todos ellos cuentan con “acceso privilegiado a los recursos del sistema a través de su presencia en aplicaciones preinstaladas y bibliotecas integradas de tercero”, lo que potencialmente le permite tener acceso al dispositivo.
Sin consentimiento
Por otra parte, el hecho de que las aplicaciones vengan preinstaladas implica que el usuario no debió dar su consentimiento para que tengan acceso al root del equipo, desde donde se puede controlar cualquier acción que esté en condiciones de realizar el equipo, incluso disponer de él.
“Hemos demostrado casos en que las compañías tienen una puerta trasera con capacidad para rootear y controlar dispositivos de forma remota sin tener en cuenta el uso, e instalar aplicaciones a través de campañas de obtención de usuarios y monetización específicas”, precisa la investigación, que advierte que “las actividades, los datos personales y los hábitos de los usuarios pueden ser supervisados constantemente por organizaciones de las que muchos usuarios nunca han oído hablar, y mucho menos han dado su consentimiento para recopilar sus datos”.
De todos modos, aunque lo supieran, los usuarios ni siquiera están en condiciones de detener las acciones no autorizadas sobre sus teléfonos celulares ya que para hacerlo debe contar con privilegios sobre el root, es decir sobre el corazón del sistema operativo, lo que no está al alcance de cualquiera. Y aún si pudiera hacerlo, en la mayoría de los casos Android directamente dejaría de funcionar, lo que dejaría al aparato inutilizable, por lo que el usuario no tienen más remedio que aceptar los términos del servicio.
“Los usuarios no tienen ni idea de las muchas relaciones privadas de intercambio de datos y las asociaciones que existen entre las distintas compañías que participan en la decisión de lo que viene preinstalado en sus teléfonos”, alertan.
En consecuencia, la respuesta a la inquietante pregunta que abre este artículo es aún más inquietante, no sólo es posible el rastreo de datos personales sino incluso la toma de control del dispositivo móvil por manos externas no autorizadas. Y además resulta prácticamente imposible para el usuario evitar esa situación en la medida en que es materialmente viable a través de programas cuya instalación y operación están fuera del control del usuario. Es decir que en tanto no se desarrollen políticas públicas de control y regulación del empleo de estas tecnologías, todos podemos estar siendo vigilados. (InfoREGION).
No hay comentarios.:
Publicar un comentario