Undersøgelsen analyserer forudinstalleret software på Android-enheder og dens privatlivsrisici for brugerne

Universidad Carlos III de Madrid (UC3M) og IMDEA Networks Institute, i samarbejde med International Computer Science Institute (ICSI) i Berkeley (USA) og Stony Brook University of New York (USA), har udført en undersøgelse, der omfatter 82, 000 forudinstallerede apps i mere end 1, 700 enheder fremstillet af 214 mærker, afsløre eksistensen af ​​et komplekst økosystem af producenter, mobiloperatører, app udviklere og udbydere, med et bredt netværk af relationer mellem dem. Dette omfatter specialiserede organisationer i brugerovervågning og -sporing og i at levere internetannoncering. Mange af de forudinstallerede apps letter adgangen til privilegerede data og ressourcer, uden at den gennemsnitlige bruger er klar over deres tilstedeværelse eller kan afinstallere dem.

Undersøgelsen viser, på den ene side, at tilladelsesmodellen på Android-operativsystemet og dets apps giver et stort antal aktører mulighed for at spore og indhente personlige brugeroplysninger. På samme tid, det afslører, at slutbrugeren ikke er klar over disse aktører i Android-terminalerne eller om de implikationer, som denne praksis kan have på deres privatliv. Desuden, tilstedeværelsen af ​​denne privilegerede software i systemet gør det vanskeligt at eliminere det, hvis man ikke er en ekspertbruger.

Disse resultater er beskrevet detaljeret i en artikel, der vil blive offentliggjort den 1. april, og som vil blive præsenteret på en af ​​de vigtigste cybersikkerheds- og privatlivskonferencer verden over, det 41. IEEE-symposium om sikkerhed og privatliv, Californien (USA) under titlen An Analysis of Pre-installed Android Software. Agencia Española de Protección de Datos-AEPD (det spanske databeskyttelsesagentur), som har bidraget til udbredelsen af ​​denne undersøgelse på grund af resultaternes massive indvirkning på borgernes privatliv, vil præsentere resultaterne for EU-kommissionen for databeskyttelse.

Andre fund

Ud over de standardtilladelser, der er defineret i Android, og som kan kontrolleres af brugeren, forskerne har identificeret mere end 4, 845 ejer eller personlige tilladelser fra forskellige aktører i fremstilling og distribution af terminalerne. Denne type tilladelse giver de apps, der annonceres på Google Play, mulighed for at unddrage sig Androids tilladelsesmodel for at få adgang til brugerdata uden at kræve deres samtykke ved installation af en ny app.

Hvad angår forudinstallerede apps på enheder, 1, 200 udviklere er blevet identificeret bag den forudinstallerede software, samt tilstedeværelsen af ​​mere end 11, 000 tredjepartsbiblioteker (SDK'er) inkluderet i samme. En vigtig del af bibliotekerne er relateret til reklametjenester og online sporing til kommercielle formål. Disse forudinstallerede apps udføres med privilegeret tilladelse og uden at kunne, i de fleste tilfælde, skal afinstalleres fra systemet. En udtømmende analyse af adfærden hos 50 % af de identificerede apps afslører, at mange af dem udviser potentielt farlig eller uønsket adfærd.

I forhold til de oplysninger, der tilbydes ved logning på en ny terminal, manglen på apps-gennemsigtighed og på selve Android-operativsystemet bliver bragt frem i lyset, ved at vise brugeren en liste over tilladelser, der er forskellige fra de rigtige, derved begrænse kapaciteten til at træffe beslutninger vedrørende persondatahåndtering.

AEPD handlingsforløb

I overensstemmelse med en pressemeddelelse fra AEPD, dette nationale agentur vil præsentere denne undersøgelse og dens konklusioner for arbejdsgrupperne under Den Europæiske Kommission for Databeskyttelse (ECDP), en enhed fra Den Europæiske Union, der udgør en del af agenturet, sammen med andre europæiske databeskyttelsesmyndigheder og den europæiske tilsynsførende. Blandt ECDP's funktioner er at fremme samarbejdet mellem databeskyttelsesagenturer.

Agenturet inkluderer i den anden centrale akse i sin strategiske plan (innovation og databeskyttelse) etablering af kanaler for samarbejde med forskningsgrupper, industri, og udviklere, med det formål at skabe tillid til den digitale økonomi i overensstemmelse med, hvad der er fastsat i den generelle databeskyttelsesforordning (GDPR). Ifølge det spanske databeskyttelsesagentur, denne undersøgelse bidrager til at gøre det muligt for producenter, udviklere og distributører til at anvende principperne om Privacy by Default og Design, der er etableret i GDPR og har til formål at beskytte individers rettigheder og frihed. Formidling af undersøgelsen udført af IMDEA Networks og UC3M er en del af disse aktioner, uafhængig af mulige handlinger, der kan følge af de beføjelser og de sammenhængende rammer, der er etableret af GDPR.