No nom¨¦s FaceApp: milers d¡¯aplicacions espien encara que se¡¯ls denegui el perm¨ªs

El cas de FaceApp, l'aplicaci¨® que utilitza intel¡¤lig¨¨ncia artificial per envellir un rostre i mostrar una imatge realista, ha posat el punt de mira sobre un aspecte com¨² que pocs usuaris tenen en compte. En instal¡¤lar-la, s'adverteix que totes les nostres dades s'utilitzaran i fins i tot se cediran a tercers, per la qual cosa se'n perd el control. En aquest cas s'avisa en un proc¨¦s que pocs usuaris llegeixen o que accepten sense pensar en les conseq¨¹¨¨ncies. Per¨° alguns programes per a m¨°bils pot ser que ni tan sols necessitin un consentiment expl¨ªcit. Milers d'aplicacions esquiven les limitacions i espien, tot i que no se'ls autoritzi a fer-ho.

Per qu¨¨ necessita la llanterna del m¨°bil accedir a la ubicaci¨® d'un usuari? I una aplicaci¨® de retoc fotogr¨¤fic al micr¨°fon? O una gravadora als contactes? En principi, aquestes apps no necessiten aquest tipus de permisos per funcionar. Quan hi accedeixen, acostuma a ser en recerca d'un b¨¦ summament valu¨®s: les dades. Els usuaris poden donar o denegar diferents permisos a les aplicacions perqu¨¨ accedeixin a la ubicaci¨®, els contactes o els arxius emmagatzemats al tel¨¨fon. Per¨° una investigaci¨® d'un equip d'experts en ciberseguretat ha revelat que fins a 12.923 apps han trobat la manera de seguir recopilant informaci¨® privada malgrat haver-los denegat els permisos expl¨ªcitament.

Aquest estudi mostra la dificultat dels usuaris per salvaguardar la seva privadesa. Investigadors de l'Institut Internacional de Ci¨¨ncies Computacionals (ICSI) a Berkeley, IMDEA Networks Institute de Madrid, la Universitat de Calgary i AppCensus han analitzat un total de 88.000 aplicacions de la Play Store i han observat com milers d'aplicacions accedeixen a informaci¨® com la ubicaci¨® o les dades del terminal que l'usuari els havia denegat pr¨¨viament.

Els experts encara no han fet p¨²blica la llista completa d'apps que duen a terme aquestes pr¨¤ctiques. Per¨° segons la investigaci¨®, entre aquestes hi ha l'aplicaci¨® del parc de Disneyland a Hong Kong, el navegador de Samsung o el cercador xin¨¨s Baidu. El nombre d'usuaris potencials afectats ¨¦s de ¡°centenars de milions¡±.

Borja Adsuara, advocat expert en dret digital, assegura que es tracta d'¡°una infracci¨® molt greu¡± perqu¨¨ el sistema operatiu Android requereix que les apps demanin l'acc¨¦s consentit a aquestes dades a trav¨¦s de permisos i l'usuari els diu expressament que no. El consentiment, segons explica, funciona d'una manera molt semblant tant en la intimitat f¨ªsica com en la no f¨ªsica ¡ªdades personals¡ª. ¡°?s com en el cas d'una violaci¨® en qu¨¨ la v¨ªctima diu expressament que no¡±, afirma.

Narseo Vallina-Rodr¨ªguez, coautor de l'estudi, assenyala que ¡°no queda clar si hi haur¨¤ pegats o actualitzacions per als milers de milions d'usuaris Android que a dia d'avui utilitzen versions del sistema operatiu amb aquestes vulnerabilitats". Google no ha concretat a aquest diari si t¨¦ pensat retirar del mercat o prendre alguna mesura en relaci¨® amb les aplicacions que, segons l'estudi, accedeixen a les dades dels usuaris sense el perm¨ªs corresponent. No obstant aix¨°, ha assegurat que el problema es resoldr¨¤ amb Android Q, la propera versi¨® del seu sistema operatiu. La companyia pret¨¦n llan?ar al llarg de l'any sis versions beta abans de donar-ne a con¨¨ixer la versi¨® final durant el tercer trimestre de l'any.

Com accedeixen les aplicacions a informaci¨® privada de l'usuari sense els permisos necessaris? Les apps esquiven els mecanismes de control del sistema operatiu mitjan?ant els side channels i els covert channels. Vallina fa la seg¨¹ent comparaci¨®: ¡°Per entrar en una casa [la dada de l'usuari] pots fer-ho per la porta amb la clau que t'ha donat el propietari [el perm¨ªs], per¨° tamb¨¦ ho pots fer sense consentiment del propietari aprofitant-te d'una vulnerabilitat de la porta [un side channel] o amb l'ajuda d'alg¨² que ja ¨¦s dins [covert channel]".

Pots obrir una porta amb una clau, per¨° tamb¨¦ pots trobar la manera de fer-ho sense tenir aquesta clau¡±. El mateix passa a l'hora d'intentar accedir a la geolocalitzaci¨® d'un terminal. Pots no tenir acc¨¦s al GPS, per¨° trobar la manera d'accedir a la informaci¨® del posicionament de l'usuari.

Metadades

Una manera de fer-ho ¨¦s mitjan?ant les metadades que estan integrades en les fotografies que fa l'usuari del m¨°bil,?segons Vallina. "Per defecte, cada fotografia que fa un usuari Android cont¨¦ metadades com la posici¨® i l'hora en qu¨¨ s'ha fet. Diverses apps accedeixen a la posici¨® hist¨°rica de l'usuari demanant el perm¨ªs per llegir la targeta de mem¨°ria, perqu¨¨ aqu¨ª ¨¦s on estan emmagatzemades les fotografies, sense haver de demanar acc¨¦s al GPS¡±, afirma. ?s el cas de Shutterfly, una aplicaci¨® d'edici¨® de fotografia. Els investigadors han comprovat que recaptava informaci¨® de coordenades de GPS a partir de les imatges dels usuaris malgrat que li haguessin denegat el perm¨ªs per accedir a la seva ubicaci¨®.

Tamb¨¦ ¨¦s possible accedir a la geolocalitzaci¨® a trav¨¦s del punt d'acc¨¦s wifi amb l'adre?a MAC del router, un identificador assignat pel fabricant que es pot correlacionar amb bases de dades existents per esbrinar la posici¨® de l'usuari ¡°amb una resoluci¨® for?a precisa¡±.

Perqu¨¨ l'aplicaci¨® pugui accedir a aquesta informaci¨®, hi ha un perm¨ªs que l'usuari ha d'activar al m¨°bil anomenat ¡°informaci¨® de la connexi¨® wifi¡±, segons explica Vallina. Per¨° hi ha apps que aconsegueixen obtenir aquestes dades sense que el perm¨ªs estigui activat. Per fer-ho, extreuen l'adre?a MAC del router que el terminal obt¨¦ mitjan?ant el protocol ARP (address resolution protocol), que es fa servir per connectar i descobrir els dispositius que hi ha en una xarxa local. ?s a dir, les aplicacions poden accedir a un fitxer que exposa la informaci¨® MAC del punt d'acc¨¦s wifi: ¡°Si llegeixes aquest fitxer que el sistema operatiu exposa sense cap tipus de perm¨ªs, pots saber la geolocalitzaci¨® d'una manera totalment opaca per a l'usuari¡±.

Llibreries de tercers

Moltes d'aquestes filtracions de dades o abusos a la privadesa de l'usuari es fan per llibreries, que s¨®n serveis o miniprogrames de tercers inclosos en el codi de les aplicacions. Aquestes llibreries s'executen amb els mateixos privilegis que t¨¦ l'app en qu¨¨ es troben. En moltes ocasions, l'usuari no ¨¦s conscient que hi s¨®n. ¡°Molts d'aquests serveis tenen un model de negoci que es basa en l'obtenci¨® i el processament de les dades personals¡±, afirma l'investigador.

Per exemple, aplicacions com la del parc de Disneyland de Hong Kong utilitzen el servei de mapes de la companyia xinesa Baidu. D'aquesta manera, poden accedir sense necessitat de tenir cap perm¨ªs a informaci¨® com l'IMEI i altres identificadors que les llibreries del cercador xin¨¨s emmagatzemen a la targeta SD. Les aplicacions de salut i navegaci¨® de Samsung, que estan instal¡¤lades en m¨¦s de 500 milions de dispositius, tamb¨¦ han utilitzat aquest tipus de llibreries per funcionar. ¡°La mateixa llibreria explota aquestes vulnerabilitats per accedir a aquestes dades per a les seves pr¨°pies finalitats. No queda clar si despr¨¦s el desenvolupador de l'app accedeix a aquestes dades a trav¨¦s de la llibreria¡±, explica.

Vallina afirma que en les properes investigacions analitzaran l'ecosistema de les llibreries de tercers i per a quines finalitats s'obtenen les dades. Tamb¨¦ estudiaran els models de monetitzaci¨® que existeixen a Android i la transpar¨¨ncia de les aplicacions sobre qu¨¨ fan i qu¨¨ diuen que fan en les pol¨ªtiques de privadesa. Per evitar aquest tipus de pr¨¤ctiques, el tamb¨¦ coautor de l'estudi Joel Reardon assenyala la import¨¤ncia de fer investigacions d'aquesta mena amb l'objectiu de ¡°trobar aquests errors i prevenir-los¡±.

Si els desenvolupadors d'aplicacions poden eludir els permisos, t¨¦ sentit demanar perm¨ªs als usuaris? ¡°S¨ª¡±, respon taxatiu Reardon. L'investigador posa l'accent en el fet que les aplicacions no poden esquivar tots els mecanismes de control i que a poc a poc ho tindran m¨¦s dif¨ªcil. ¡°El sistema de permisos t¨¦ molts errors, per¨° tot i aix¨° serveix i persegueix un prop¨°sit important¡±, afirma.

Responsabilitat dels desenvolupadors

Aquestes pr¨¤ctiques realitzades sense el consentiment dels usuaris incompleixen, entre altres normatives, el Reglament General de Protecci¨® de Dades (RGPD) i la Llei Org¨¤nica de Protecci¨® de Dades. Els desenvolupadors d'aquestes aplicacions podrien haver d'afrontar, segons el RGPD, a sancions econ¨°miques de fins a 20 milions d'euros o el 4% de la facturaci¨® anual de l'empresa. I fins i tot podrien constituir un delicte contra la intimitat (article 197 del Codi Penal) que podria comportar penes de pres¨®, segons Adsuara.

L'advocat sost¨¦ que bona part de la responsabilitat recau en els desenvolupadors. Per¨° considera que tant les botigues ¡ªGoogle Play i Apple Store¡ª com les plataformes que donen acc¨¦s a les aplicacions a les dades dels seus usuaris ¡ªcom Facebook en el cas de Cambridge Analytica¡ª tenen una responsabilitat invigilant: ¡°?s a dir, el deure de vigilar que les aplicacions que accepten a la seva botiga o a les quals donen acc¨¦s a les dades dels seus usuaris a la seva plataforma siguin segures¡±.

¡°Encara que cadasc¨² ¨¦s responsable dels seus actes, es troba a faltar alguna autoritat espanyola o europea que revisi la seguretat de les aplicacions i serveis TIC abans de llan?ar-les al mercat¡±, afirma. I subratlla que en altres sectors s¨ª que hi ha algun tipus de certificaci¨® que garanteix que un producte o servei ¨¦s segur: ¡°A ning¨² se li passa pel cap, per exemple, que s'autoritzi la circulaci¨® de cotxes amb frens que fallen. I ja no diguem medicaments, aliments o joguines. No obstant aix¨°, ¨¦s normal en el sector TIC que es llancin al mercat aplicacions i serveis amb forats de seguretat, i que despr¨¦s, sobre la marxa, s'hi vagin posant pegats¡±.