Android permite a los anunciantes obtener una lista de todas sus aplicaciones, y esta función de API se united states ampliamente


logo de android

Un trabajo de investigación publicado esta semana ha analizado el uso genuine de una característica menos conocida del sistema operativo Android que podría ser un peligro para la privacidad del usuario.

El estudio encontró que muchas de las principales aplicaciones de Android de hoy en día utilizan IAM (métodos de aplicación instalados), un conjunto de llamadas a la API del sistema operativo Android que permiten a los desarrolladores de aplicaciones obtener una lista de otras aplicaciones instaladas en el dispositivo.

Google creó inicialmente estas llamadas a la API (1, 2) para permitir a los desarrolladores detectar incompatibilidades de aplicaciones o ajustar las interacciones con otras aplicaciones. Sin embargo, el estudio publicado esta semana sugiere que los IAM también se están utilizando para rastrear y tomar huellas dactilares de los usuarios, lo que representa un riesgo de privacidad palpable.

El peligro para la privacidad del usuario proviene del hecho de que un anunciante podría inferir intereses y rasgos personales (género, idiomas hablados, creencias religiosas, grupos de edad) al analizar la lista de aplicaciones instaladas de un usuario.

Además, también existe el problema de que los usuarios no pueden protegerse contra las huellas digitales basadas en IAM. Esto se debe a que las llamadas de IAM son «métodos silenciosos», lo que significa que una aplicación no necesita pedirle permiso al usuario antes de ejecutarla.

Además, muchas llamadas de IAM también se ejecutan sin el conocimiento del desarrollador de la aplicación. Si una aplicación admite un paquete de análisis o una biblioteca de publicidad, los investigadores descubrieron que muchos de ellos ejecutaban llamadas silenciosas de API de IAM sin que el desarrollador de la aplicación supiera que esto estaba sucediendo.

Analizando miles de aplicaciones

El documento de investigación publicado esta semana examinó por primera vez todos estos ángulos y cuantificó las estadísticas de uso de IAM en el ecosistema de Android.

Esta monumental tarea fue realizada por un equipo de cuatro académicos de universidades de Suiza, Italia y los Países Bajos. El equipo de investigación dijo que analizó miles de aplicaciones de Android y su código respectivo, buscando llamadas API de IAM, independientemente de su ubicación: el código de la aplicación o una biblioteca de terceros.

Los investigadores dijeron que analizaron 14.342 aplicaciones de Android publicadas en las principales categorías de Google Enjoy Store y otro conjunto de 7.886 aplicaciones de Android que tenían su código fuente publicado en línea.

iam-research.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/03/25/e9ea65ae-b990-4423-89cf-c270583bfa7a/iam-research.png

Según el equipo de investigación, el uso de IAM es bastante común en aplicaciones comerciales, con un 30.29% (4,214) de las aplicaciones de Perform Retailer que realizan llamadas IAM dentro de su código. Para las aplicaciones de código abierto, este número fue solo del 2,89% (228 aplicaciones).

Pero el equipo de investigación no solo estudió qué aplicaciones hicieron llamadas de IAM, sino que también analizaron lo que IAM llamaba cada aplicación en un intento de comprender cómo y qué desarrolladores de aplicaciones intentaban lograr a través de esta función.

La siguiente tabla dice mucho.

Muestra que casi la mitad de todas las llamadas grabadas de IAM encontradas tanto en Perform Retail outlet como en aplicaciones de código abierto fueron para la llamada packageName IAM, que recupera una lista de aplicaciones instaladas localmente.

Todas las demás llamadas de IAM tenían un porcentaje de uso de menos del 15%, y la mayoría period inferior al 1%. La mayoría de estos son llamadas de IAM para obtener detalles técnicos de la aplicación, como firmas, versiones de la aplicación, últimos tiempos de actualización o números de versión del SDK.

Tales llamadas se usan a menudo para depurar aplicaciones, el objetivo principal y la razón por la cual se creó la API de IAM en primer lugar.

Sin embargo, la gran cantidad de consultas para packageName IAM sugiere que muchas aplicaciones obtienen una lista de aplicaciones instaladas localmente y luego no hacen nada más, lo que indica un tipo de comportamiento de «colección» por parte de esas aplicaciones.

iam-access-stats.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/03/25/c034f328-95f1-455d-9092-b5b4b6f7b4e1/iam-access-stats.png

Este descubrimiento de que las llamadas de IAM probablemente se usan para la recopilación de datos en lugar de la depuración serious se confirmó más tarde cuando el equipo de investigación también examinó la ubicación del código que ejecutó la llamada de IAM.

Lo que descubrieron los investigadores fue que la mayoría de las llamadas de IAM provenían de bibliotecas de terceros agregadas a aplicaciones, en lugar de las aplicaciones en sí.

iam-access-category.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/03/25/e20f5d7d-d98c-4a00-a6ed-6737c07ed388/iam-access-category.png

«Se detectaron un overall de 7,538 y 287 llamadas a IAM en aplicaciones comerciales y de código abierto respectivamente (algunas aplicaciones realizan más de una llamada)», dijo el equipo de investigación.

«El uso de IAM en las bibliotecas incluidas parece ser más común en aplicaciones comerciales, donde 6.306 (83,66%) de las llamadas detectadas se realizan en código que pertenece a las bibliotecas, mientras que las 1.232 restantes (16,34%) se realizan en el propio código de las aplicaciones, «dijeron los investigadores. «Con respecto a las aplicaciones de código abierto, 178 usos (62.02%) se realizan desde bibliotecas agrupadas, mientras que 109 (37.98%) restantes pertenecen al código de las aplicaciones».

Según el equipo de investigación, más de un tercio de las bibliotecas de terceros que descubrieron que ejecutaban llamadas IAM se utilizaron con fines publicitarios, lo que confirma que las llamadas IAM ahora se están utilizando como un mecanismo de recopilación de datos del usuario.

iam -otecas.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/03/25/2ca006e7-74c0-4401-8121-14e4a0ae5e64/iam-libraries.png

Un cuestionario de seguimiento con 70 desarrolladores de aplicaciones también descubrió que muchos desarrolladores ni siquiera sabían que las bibliotecas de terceros que usaban en sus aplicaciones realizaban llamadas IAM.

«No sabíamos que se usaba en absoluto», dijo uno de los desarrolladores que respondió a los investigadores y completó el cuestionario.

«No lo estamos usando. ¿API de terceros? Si me puede decir cuál lo eliminaré», dijo otro.

En el futuro, el equipo de investigación insta a Google a restringir el uso de llamadas API de IAM. Según el equipo de investigación, el mejor escenario sería si Google pusiera las llamadas de IAM bajo una solicitud de permiso. Las solicitudes de permisos son ventanas emergentes que le preguntan al usuario si una aplicación puede realizar alguna acción en este caso, permita que la aplicación recupere una lista de todas sus otras aplicaciones.

Más detalles sobre esta investigación están disponibles en un documento de investigación titulado «¡Deja mis aplicaciones en paz! Un estudio sobre cómo los desarrolladores de Android acceden a las aplicaciones instaladas en el dispositivo del usuario, «que se presentará este otoño en la conferencia MOBILESoft 2020 en Seúl, Corea del Sur.



Enlace a la noticia original