Universidad Carlos III de Madrid (UC3M) e o Instituto de Redes IMDEA, em colaboração com o International Computer Science Institute (ICSI) em Berkeley (EUA) e a Stony Brook University de Nova York (EUA), realizaram um estudo que abrange 82, 000 aplicativos pré-instalados em mais de 1, 700 dispositivos fabricados por 214 marcas, revelando a existência de um complexo ecossistema de fabricantes, operadoras móveis, desenvolvedores e fornecedores de aplicativos, com uma ampla rede de relacionamentos entre eles. Isso inclui organizações especializadas em monitoramento e rastreamento de usuários e no fornecimento de publicidade na Internet. Muitos dos aplicativos pré-instalados facilitam o acesso a dados e recursos privilegiados, sem que o usuário comum saiba de sua presença ou seja capaz de desinstalá-los.

O estudo mostra, por um lado, que o modelo de permissão no sistema operacional Android e seus aplicativos permitem que um grande número de atores rastreie e obtenha informações pessoais do usuário. Ao mesmo tempo, revela que o usuário final não tem conhecimento desses atores nos terminais Android ou das implicações que essa prática pode ter em sua privacidade. Além disso, a presença deste software privilegiado no sistema torna difícil eliminá-lo se não for um usuário experiente.

Esses resultados são detalhados em artigo que será divulgado em 1º de abril e apresentado em uma das principais conferências de cibersegurança e privacidade do mundo, o 41º Simpósio IEEE sobre Segurança e Privacidade, Califórnia (EUA) sob o título An Analysis of Pre-installed Android Software. A Agencia Española de Protección de Datos- AEPD (Agência Espanhola de Proteção de Dados), que contribuiu para a divulgação deste estudo devido ao grande impacto dos resultados na privacidade dos cidadãos, irá apresentar os resultados perante a Comissão Europeia para a Proteção de Dados.

Outras descobertas

Além das permissões padrão definidas no Android e que podem ser controladas pelo usuário, os pesquisadores identificaram mais de 4, 845 autorizações proprietárias ou personalizadas por diferentes atores na fabricação e distribuição dos terminais. Esse tipo de permissão permite que os aplicativos anunciados no Google Play evitem o modelo de permissão do Android para acessar os dados do usuário sem exigir seu consentimento na instalação de um novo aplicativo.

Quanto a aplicativos pré-instalados em dispositivos, 1, 200 desenvolvedores foram identificados por trás do software pré-instalado, bem como a presença de mais de 11, 000 bibliotecas de terceiros (SDKs) incluídas no mesmo. Uma parte importante das bibliotecas está relacionada a serviços de publicidade e rastreamento online para fins comerciais. Esses aplicativos pré-instalados são executados com permissão privilegiada e sem poder, na maioria dos casos, a ser desinstalado do sistema. Uma análise exaustiva do comportamento de 50% dos aplicativos identificados revela que muitos deles apresentam comportamentos potencialmente perigosos ou indesejados.

Em relação às informações oferecidas ao fazer o login em um novo terminal, a falta de transparência dos apps e do próprio sistema operacional Android é trazida à tona, ao mostrar ao usuário uma lista de permissões diferentes das reais, limitando assim a capacidade de tomada de decisão em relação à gestão de dados pessoais.

Curso de ação da AEPD

De acordo com um comunicado de imprensa da AEPD, esta agência nacional apresentará este estudo e as suas conclusões aos subgrupos de trabalho da Comissão Europeia para a Proteção de Dados (ECDP), uma entidade da União Europeia que faz parte da Agência, juntamente com outras autoridades europeias de proteção de dados e a Autoridade Europeia. Entre as funções do ECDP está a promoção da cooperação entre as agências de proteção de dados.

A Agência inclui no segundo eixo central do seu Plano Estratégico (Inovação e Proteção de Dados) o estabelecimento de canais de colaboração com grupos de investigação, indústria, e desenvolvedores, com o objetivo de fomentar a confiança na economia digital, em linha com o disposto no Regulamento Geral de Proteção de Dados (RGPD). De acordo com a Agência Espanhola de Proteção de Dados, este estudo contribui para capacitar os fabricantes, os desenvolvedores e distribuidores devem aplicar os princípios de privacidade por padrão e design estabelecidos no GDPR e que visam salvaguardar os direitos e a liberdade dos indivíduos. A divulgação do estudo realizado pela IMDEA Networks e UC3M faz parte dessas ações, independente de possíveis ações que possam resultar dos poderes e da estrutura coerente estabelecida pelo GDPR.