Universidad Carlos III de Madrid (UC3M) e l'Istituto delle reti IMDEA, in collaborazione con l'International Computer Science Institute (ICSI) di Berkeley (USA) e la Stony Brook University di New York (USA), hanno condotto uno studio che comprende 82, 000 app preinstallate in più di 1, 700 dispositivi prodotti da 214 marchi, rivelando l'esistenza di un complesso ecosistema di produttori, operatori mobili, sviluppatori e fornitori di app, con un'ampia rete di relazioni tra di loro. Ciò include organizzazioni specializzate nel monitoraggio e monitoraggio degli utenti e nella fornitura di pubblicità su Internet. Molte delle app preinstallate facilitano l'accesso a dati e risorse privilegiati, senza che l'utente medio sia consapevole della loro presenza o sia in grado di disinstallarli.

Lo studio mostra, da una parte, che il modello di autorizzazione sul sistema operativo Android e sulle sue app consente a un gran numero di attori di tracciare e ottenere informazioni personali dell'utente. Allo stesso tempo, rivela che l'utente finale non è a conoscenza di questi attori nei terminali Android o delle implicazioni che questa pratica potrebbe avere sulla sua privacy. Per di più, la presenza di questo software privilegiato nel sistema rende difficile eliminarlo se non si è utenti esperti.

Questi risultati sono dettagliati in un articolo che sarà reso pubblico il 1 aprile e che sarà presentato in una delle principali conferenze sulla sicurezza informatica e sulla privacy a livello mondiale, il 41° Simposio IEEE su sicurezza e privacy, California (USA) con il titolo An Analysis of Pre-installed Android Software. L'Agencia Española de Protección de Datos-AEPD (Agenzia spagnola per la protezione dei dati), che ha contribuito alla diffusione di questo studio a causa del massiccio impatto dei risultati sulla privacy dei cittadini, presenterà i risultati alla Commissione Europea per la Protezione dei Dati.

Altri risultati

Oltre ai permessi standard definiti in Android e controllabili dall'utente, i ricercatori hanno identificato più di 4, 845 proprietario o autorizzazioni personalizzate da parte di diversi attori nella produzione e distribuzione dei terminali. Questo tipo di autorizzazione consente alle app pubblicizzate su Google Play di eludere il modello di autorizzazione di Android per accedere ai dati degli utenti senza richiedere il loro consenso al momento dell'installazione di una nuova app.

Per quanto riguarda le app preinstallate sui dispositivi, 1, 200 sviluppatori sono stati identificati dietro il software preinstallato, nonché la presenza di oltre 11, 000 librerie di terze parti (SDK) incluse nelle stesse. Una parte importante delle biblioteche è legata ai servizi pubblicitari e al tracciamento online per scopi commerciali. Queste app preinstallate vengono eseguite con permessi privilegiati e senza poter, nella maggior parte dei casi, da disinstallare dal sistema. Un'analisi approfondita del comportamento del 50% delle app identificate rivela che molte di esse mostrano comportamenti potenzialmente pericolosi o indesiderati.

In relazione alle informazioni offerte al momento dell'accesso a un nuovo terminale, viene messa in luce la mancanza di trasparenza delle app e dello stesso sistema operativo Android, dopo aver mostrato all'utente un elenco di permessi diversi da quelli reali, limitando così la capacità decisionale in merito alla gestione dei dati personali.

Linea d'azione dell'AEPD

Secondo un comunicato stampa dell'AEPD, questa agenzia nazionale presenterà questo studio e le sue conclusioni ai sottogruppi di lavoro della Commissione europea per la protezione dei dati (ECDP), un'entità dell'Unione europea che fa parte dell'Agenzia, insieme ad altre autorità europee per la protezione dei dati e al Garante europeo. Tra le funzioni dell'ECDP c'è la promozione della cooperazione tra le agenzie per la protezione dei dati.

L'Agenzia prevede nel secondo asse centrale del suo Piano Strategico (Innovazione e Protezione dei Dati) l'istituzione di canali di collaborazione con gruppi di ricerca, industria, e sviluppatori, con l'obiettivo di fomentare la fiducia nell'economia digitale in linea con quanto previsto dal Regolamento generale sulla protezione dei dati (GDPR). Secondo l'Agenzia spagnola per la protezione dei dati, questo studio contribuisce a consentire ai produttori, sviluppatori e distributori ad applicare i principi di Privacy by Default e Design stabiliti nel GDPR e volti alla salvaguardia dei diritti e delle libertà delle persone. La divulgazione dello studio intrapreso da IMDEA Networks e UC3M fa parte di queste azioni, indipendentemente da possibili azioni che possono derivare dai poteri e dal quadro coerente stabilito dal GDPR.