El análisis de si las aplicaciones móviles revelan información confidencial, ha sido el foco de muchas investigaciones, especialmente con vistas a riesgos tales como el anonimato del usuario, el seguimiento de la ubicación, los perfiles de comportamiento y los enlaces cruzados de datos por diferentes partes interesadas en la cadena de suministro de los dispositivos. Por el contrario, la divulgación de información a nivel del sistema operativo casi no ha recibido atención. El comportamiento del sistema operativo ha pasado a primer plano recientemente, con los análisis del sistema de notificación de exposición Google-Apple (GAEN, por sus siglas en inglés), que sustenta las aplicaciones de rastreo de contactos de Covid, y por las revelaciones de vigilancia masiva de periodistas, políticos y activistas de derechos humanos a través del software espía que “NSO Group” ha utilizado para facilitar la comisión de violaciones de derechos humanos a gran escala en todo el mundo, según el “Proyecto Pegasus”, una importante investigación sobre la filtración de 50 mil números de teléfono de posibles objetivos de vigilancia.

El pasado 6 de octubre, investigadores del Trinity College de Dublín realizaron un estudio de medición en profundidad de los datos compartidos por una serie de marcas que utilizan el sistema operativo Android, a saber, Samsung, Xiaomi, Huawei y Realme. Además, informaron sobre los datos compartidos por las variantes de código abierto LineageOS y /e/OS de Android. Samsung tiene actualmente la mayor parte de este mercado, seguido por Xiaomi, Huawei y Oppo, la empresa de Realme. Por otro lado, LineageOS es probablemente la variante de código abierto más popular de Android, actualmente se utiliza en 30 millones de teléfonos, mientras que /e/OS es una nueva versión de LineageOS y conocido popularmente como el Android sin Google.

Vale la pena destacar que gran parte de la funcionalidad del sistema Android es proporcionado por las llamadas aplicaciones del sistema. Estas, son aplicaciones preinstaladas que el desarrollador del sistema operativo incluye con el software y no se pueden eliminar, ya que están instaladas en una partición del disco protegida, de solo lectura, llamada ROM. Es común para Android incluir aplicaciones de sistema de terceros preinstaladas, es decir, aplicaciones no escritas por el desarrollador del sistema operativo. Un ejemplo es el llamado “paquete GApps” de las aplicaciones de Google, que incluye Google Play, Google Maps o Youtube, entre otras. Otros ejemplos incluyen aplicaciones del sistema preinstaladas de compañías como Microsoft, LinkedIn, Facebook...

En la investigación se interceptaron y analizaron el tráfico de datos enviado por el sistema Android y de sus aplicaciones preinstaladas, en una gran variedad de escenarios. Se asumió un rol de usuario consciente de la privacidad, quién, cuando se le pregunta, no selecciona opciones que comparten datos, sino todo lo contrario, deja la configuración del teléfono en su valor predeterminado. Esto significa que el usuario ha optado por no participar en diagnósticos, análisis o experiencias de usuario que mejoran la recopilación de datos. El usuario tampoco hace uso de servicios opcionales como el almacenamiento en la nube o “encuentra mi teléfono”. Básicamente, el teléfono solo se usa para hacer y recibir llamadas telefónicas y mensajes de texto.

Dando forma a nuestra huella digital

El equipo del Trinity College descubrió que Samsung Pass comparte información detallada con Google Analytics, detallando el tiempo de uso de la aplicación y cuándo se usó. De forma similar ocurre con el asistente de videojuegos de Samsung y cada vez que se activa el asistente virtual de Samsung, “Bixby”. Respecto a los dispositivos de la marca Xiaomi, se encontró que su aplicación de mensajería comparte el tiempo de interacción de cada usuario con Google Analytics, así como el registro de cada texto enviado por el usuario. También se descubrió que el equipo de Huawei hacía exactamente lo mismo que su competidor Xiaomi. Por último, en dispositivos con Microsoft SwiftKey preinstalado, el registro explica en detalle cada vez que se usa ese tipo de teclado en otra aplicación. Estos datos por sí solos no pueden identificar su teléfono como único, pero el problema viene cuando se juntan, formando una huella digital única que puede utilizarse para rastrear su dispositivo, incluso si intenta evitarlo.

Para finalizar, se observó que todas las variantes de Android transmiten un volumen sustancial de datos al desarrollador del sistema operativo, es decir, Samsung a Samsung, Xiamoi a XIamoi, y así sucesivamente. Además de a terceras partes que tienen aplicaciones preinstaladas en el sistema, incluido Google, Microsoft, Heytap, LinkedIn o Facebook. LineageOS envía volúmenes de datos a Google de forma similar a las variantes de Android, pero no se observó que los desarrolladores recopilaran datos de aplicaciones del sistema preinstaladas, sin contar las de Google. Por su parte, /e/OS no envía información a Google ni a terceros, ni si quiera a los desarrolladores de /e/OS. Aunque tal vez no sea sorprendente que un sistema operativo centrado en la privacidad como /e/OS casi no recopile datos. Sin embargo, proporciona una línea de base útil y establece que la recopilación de datos por un sistema operativo móvil no es necesaria ni esencial, sino más bien una elección realizada por el desarrollador del sistema operativo.