Universidad Carlos III de Madrid (UC3M) en het IMDEA Networks Institute, in samenwerking met het International Computer Science Institute (ICSI) in Berkeley (VS) en Stony Brook University of New York (VS), hebben een studie uitgevoerd die 82, 000 vooraf geïnstalleerde apps in meer dan 1, 700 apparaten vervaardigd door 214 merken, het bestaan ​​van een complex ecosysteem van fabrikanten aan het licht brengen, mobiele operators, app-ontwikkelaars en -aanbieders, met een breed netwerk van relaties tussen hen. Dit omvat gespecialiseerde organisaties in het volgen en volgen van gebruikers en in het aanbieden van internetreclame. Veel van de vooraf geïnstalleerde apps vergemakkelijken de toegang tot bevoorrechte gegevens en bronnen, zonder dat de gemiddelde gebruiker zich bewust is van hun aanwezigheid of ze kan verwijderen.

De studie laat zien, aan de ene kant, dat het toestemmingsmodel op het Android-besturingssysteem en zijn apps een groot aantal actoren in staat stelt om persoonlijke gebruikersinformatie te volgen en te verkrijgen. Tegelijkertijd, het laat zien dat de eindgebruiker niet op de hoogte is van deze actoren in de Android-terminals of van de implicaties die deze praktijk zou kunnen hebben voor hun privacy. Verder, de aanwezigheid van deze bevoorrechte software in het systeem maakt het moeilijk om het te elimineren als men geen ervaren gebruiker is.

Deze resultaten worden gedetailleerd beschreven in een artikel dat op 1 april openbaar zal worden gemaakt en dat zal worden gepresenteerd op een van de belangrijkste cyberbeveiligings- en privacyconferenties wereldwijd, het 41e IEEE-symposium over beveiliging en privacy, Californië (VS) onder de titel An Analysis of Pre-installed Android Software. De Agencia Española de Protección de Datos-AEPD (Spaanse gegevensbeschermingsinstantie), die heeft bijgedragen aan de verspreiding van deze studie vanwege de enorme impact van de resultaten op de privacy van burgers, zal de resultaten presenteren aan de Europese Commissie voor gegevensbescherming.

Andere bevindingen

Naast de standaardrechten die in Android zijn gedefinieerd en die door de gebruiker kunnen worden beheerd, de onderzoekers hebben er meer dan 4 geïdentificeerd, 845 eigenaar of gepersonaliseerde toestemmingen door verschillende actoren bij de productie en distributie van de terminals. Met dit type toestemming kunnen de apps die op Google Play worden geadverteerd, het toestemmingsmodel van Android omzeilen om toegang te krijgen tot gebruikersgegevens zonder dat hun toestemming nodig is bij de installatie van een nieuwe app.

Wat betreft vooraf geïnstalleerde apps op apparaten, 1, 200 ontwikkelaars zijn geïdentificeerd achter de vooraf geïnstalleerde software, evenals de aanwezigheid van meer dan 11, 000 bibliotheken van derden (SDK's) inbegrepen in hetzelfde. Een belangrijk deel van de bibliotheken is gerelateerd aan advertentiediensten en online tracking voor commerciële doeleinden. Deze vooraf geïnstalleerde apps worden uitgevoerd met geprivilegieerde toestemming en zonder in staat te zijn, in de meeste gevallen, van het systeem te worden verwijderd. Uit een grondige analyse van het gedrag van 50% van de geïdentificeerde apps blijkt dat velen van hen potentieel gevaarlijk of ongewenst gedrag vertonen.

Met betrekking tot de informatie die wordt aangeboden bij het inloggen op een nieuwe terminal, het gebrek aan transparantie van de apps en van het Android-besturingssysteem zelf wordt aan het licht gebracht, bij het tonen van de gebruiker een lijst met machtigingen die verschillen van de echte, waardoor de besluitvorming over het beheer van persoonsgegevens wordt beperkt.

AEPD handelwijze

In overeenstemming met een persbericht van de AEPD, dit nationale agentschap zal deze studie en de conclusies ervan presenteren aan de werkgroepen van de Europese Commissie voor gegevensbescherming (ECDP), een entiteit van de Europese Unie die deel uitmaakt van het Agentschap, samen met andere Europese gegevensbeschermingsautoriteiten en de Europese Toezichthouder. Een van de functies van het ECDP is het bevorderen van samenwerking tussen gegevensbeschermingsinstanties.

Het Agentschap neemt in de tweede centrale as van zijn strategisch plan (innovatie en gegevensbescherming) het opzetten van kanalen voor samenwerking met onderzoeksgroepen, industrie, en ontwikkelaars, met als doel het vertrouwen in de digitale economie aan te wakkeren in overeenstemming met wat is vastgelegd in de Algemene Verordening Gegevensbescherming (AVG). Volgens het Spaanse agentschap voor gegevensbescherming, deze studie draagt ​​bij aan het in staat stellen van fabrikanten, ontwikkelaars en distributeurs om de principes van Privacy by Default en Design toe te passen die zijn vastgelegd in de AVG en gericht zijn op het waarborgen van de rechten en vrijheid van individuen. Verspreiding van de studie uitgevoerd door IMDEA Networks en UC3M maakt deel uit van deze acties, onafhankelijk van mogelijke acties die kunnen voortvloeien uit de bevoegdheden en het coherente kader dat is vastgelegd door de AVG.