Nuevo premio para el artículo 'Un análisis del software de Android preinstalado'

IMDEA Networks Institute/DICYT El artículo 'Un análisis del software de Android preinstalado' de Julien Gamba, Mohammed Rashed, Abbas Razaghpanah, Juan Tapiador y Narseo Vallina-Rodriguez, ha recibido el Premio al Mejor Paper Práctico (Best Practical Paper Award) en el 41º Simposio IEEE sobre Seguridad y Privacidad (Oakland), que tiene lugar del 18 al 20 de mayo de 2020. Esta es una de las principales conferencias en ciberseguridad. El estudio tiene un impacto real en los usuarios, ya que revela los problemas de privacidad y seguridad asociados con el software preinstalado en los dispositivos Android y su cadena de suministro.

Este es el tercer premio que el artículo ha recibido este año, incluido el de la Agencia Española de Protección de Datos (AEPD) y los Premios de Privacidad de CNIL (Autoridad de Protección de Datos de Francia) e INRIA. El equipo está compuesto por investigadores de IMDEA Networks Institute (una institución promovida por la Comunidad de Madrid), la Universidad Carlos III de Madrid, el Instituto Internacional de Informática (ICSI) en Berkeley (EE.UU.) y la Universidad Stony Brook de Nueva York (EE.UU.).

Asimismo, este artículo ha propiciado que Julien Gamba sea galardonado con la beca de posgrado Norton LifeLock/Symantec 2020. El estudiante de doctorado y principal autor del estudio presentó una propuesta basada en la cadena de suministro de Android y sus desafíos en materia de atribución, privacidad y seguridad. En este momento, su objetivo es “diseñar formas confiables de atribuir software a los desarrolladores y crear herramientas para realizar análisis estáticos y dinámicos en aplicaciones de Android preinstaladas”.

Resultados de investigación

Este artículo completo abarca más de 82.000 apps preinstaladas en más de 1.700 dispositivos fabricados por 214 marcas. La investigación muestra que muchas de las aplicaciones preinstaladas facilitan el acceso privilegiado a datos y recursos del sistema sin posibilidad de que un usuario medio pueda desinstalarlas. Además, los investigadores descubrieron que la gran mayoría de las aplicaciones preinstaladas no son públicas, lo que hace que sean difíciles de recopilar y analizar.

Por otro lado, los investigadores han identificado una falta de transparencia en las aplicaciones y el propio sistema operativo de Android en la información ofrecida al usuario cuando inicia un terminal nuevo. Se facilita al usuario una lista de permisos que difiere del real, lo que limita su capacidad de decisión para administrar su información personal.

“El verdadero reto es identificar con certeza a las partes interesadas de la cadena de suministro”, explica Gamba. Este estudio ha permitido arrojar algo de luz sobre este ecosistema y destapar a muchas partes interesadas de la cadena de suministro. Sin embargo, “todavía hay muchas maneras de evitar la detección”. Por esta razón, el investigador de IMDEA Networks concluye que “actualmente están trabajando para mejorar las herramientas de vanguardia con el fin de diseñar formas de descubrir la presencia de todos estos interesados y finalmente pintar una imagen completa de la cadena de suministro de Android”.

Más información:

• AEPD y CNIL otorgan sus premios de protección de datos a un equipo en el que participan investigadores de IMDEA Networks
• Un estudio analiza el software preinstalado en dispositivos Android y los riesgos para la privacidad de los usuarios
• An Analysis of Pre-installed Android Software