Publicado el Ministerio de Defensa de Lituania un informe a finales de septiembre, donde recomendó a sus ciudadanos que se deshicieran de algunos modelos de teléfonos móviles chinos. Tras este informe, Alemania admitió hace unos días una investigación sobre los teléfonos móviles Xiaomi, la marca más vendido en Europa por primera vez en el segundo trimestre de 2021, sin precisar el motivo. Ambas decisiones acapararon titulares y volvieron a poner en el centro de atención la tecnología exportada por el gigante asiático. Pero el desafío va mucho más allá, afecta a todo el ecosistema de Android y tiene que ver con aplicaciones que vienen preinstaladas en cualquier teléfono y cuyas actualizaciones, que nadie controla ni monitorea, pueden suponer un riesgo para los usuarios.
La denuncia que más llamó la atención en el informe lituano fue una lista de 449 palabras en caracteres chinos que el dispositivo pudo localizar y bloquear. Muchos tenían connotaciones políticas sobre China: «Tíbet libre», «Movimiento democrático 89», «Viva Taiwán libre» o sobre los uigures. Pero también había grupos terroristas «nazis», islámicos e incluso «ETA». Pero días después, el 27 de septiembre, el Ministerio de Defensa de Lituania publicó un apéndice con nuevas palabras, algunas ya directamente en inglés e incluso en español. La mayoría están relacionados con el sexo: pornografía, pornografía, pornografía, empalador anal, paja, menor de edad, puta, video caliente, clítoris, vaginas, hijo de puta, pero también Dalai Lama, marxista o extremismo.
Entre la lista de palabras en chino está ETA, por ejemplo el Frente Patriótico Manuel Rodríguez (una organización chilena nacida en la época de Pinochet) o el artista Ai Weiwei. Hay un total de 1376 términos. La lista al final no es sofisticada, pero serviría para encontrar a alguien que busque información políticamente sospechosa de China o consuma pornografía. La primera es, por supuesto, que a una empresa china le conviene seguir las directrices de su gobierno. La pornografía puede tener connotaciones políticas o también puede servir como posible coerción o chantaje.
El informe lituano ofrece poca evidencia, pero cree que esta lista que se encuentra en los dispositivos Xiaomi sirve para filtrar contenido: «Se cree que esta función permite que un dispositivo Xiaomi realice un análisis del contenido multimedia que ingresa al teléfono del objetivo», dice el informe. . “Y luego busque palabras clave basadas en esa lista negra recibida por el servidor”, agrega. Una vez hecho esto, el dispositivo puede filtrar el contenido para que el usuario no lo vea. Lituania admite que esta función ha sido «desactivada» en la Unión Europea.
La verdadera magnitud del problema.
Sin embargo, hay una frase en el informe original que describe mejor la magnitud real del problema: «Es importante enfatizar que el fabricante activa esta función de forma remota». Las aplicaciones preinstaladas en teléfonos Android constituyen uno de los campos más oscuros de la industria y con evidencia científica abrumadora. Los investigadores que han analizado este fenómeno en Android no encuentran nada sorprendente en el hecho de que un fabricante chino pueda activar de forma remota un programa o cambiar su función mediante una actualización, sin que el usuario se dé cuenta. De hecho, parece un juego de niños.
«En muchos teléfonos hay Software precargado que ha sido desarrollado por varias organizaciones con la capacidad de instalar silenciosamente cualquier cosa, desde espionaje hasta troyanos ”, dice Narseo Vallina, investigador principal de Imdea Networks y coautor de una encuesta pionera y premiada sobre aplicaciones preinstaladas en Android Mobile. Dispositivos. “Si algún actor de la cadena de suministro se ve comprometido o facilita el acceso a agentes malintencionados, nuestros dispositivos podrían verse afectados”, agrega.
El informe lituano, debido a lo extraño de la lista, puede llamar la atención sobre la jungla de programas preinstalados que muchos actores de la industria tienen en sus manos, pero no es responsabilidad exclusiva de nadie. Tampoco hay agentes de policía permanentes que vigilar. El fabricante muchas veces se da por vencido o permite la instalación de aplicaciones que en principio hacen algo necesario o razonable, pero que nadie controla, monitorea o verifica en la fuente o en sus futuras actualizaciones. El teléfono celular que compramos puede terminar recogiendo datos o haciendo cosas diferentes unos meses después de la compra, como muestra el cambio en la lista de palabras no permitidas de Xiaomi. Por ejemplo, el teléfono celular de un chino o extranjero que de repente toma una posición en público a favor de los uigures o el Tíbet de su Xiaomi puede comenzar a enviar datos o descargar información sin el conocimiento del usuario.
“El concepto de fábrica instalada no existe desde el momento en que las actualizaciones ocurren continuamente, desde el momento en que enciendes el teléfono por primera vez”, dice Juan Tapiador, profesor de la Universidad Carlos III y coautor de la investigación con Vallina. . “También es posible segmentar usuarios y realizar instalaciones privadas para grupos de ellos, por ejemplo, por modelo de dispositivo o por ubicación geográfica, lo que dificulta aún más hablar de lo que viene de fábrica instalado en el mismo dispositivo”, concluyó. agrega. .
Lo actualizamos cuando queremos
Tapiador y Vallina publicaron este año un nuevo articulo sobre la facilidad con la que las aplicaciones básicas preinstaladas para la operación móvil pueden actualizarse y cambiar su propósito inicial o adaptarlo a un nuevo propósito: “Cuando hicimos el trabajo preinstalado, no sabíamos qué aplicaciones estaban allí en ese momento vez que el usuario compró el teléfono y que aterrizó más tarde ”, dice Tapiador. “En el caso de las actualizaciones, se trata de aplicaciones del sistema que, por su propia naturaleza, tienen privilegios muy elevados. La mayoría de estos privilegios son necesarios para que funcionen bien, pero también se pueden abusar fácilmente de ellos. No es algo que se pueda resolver simplemente a nivel técnico, pero una mayor transparencia en el proceso ayudaría a aumentar la confianza y facilitaría la identificación de abusos ”, agrega.
Esto no solo sucede en los teléfonos chinos, sino potencialmente en todos ellos. “Es difícil saber qué tan extendido está en general”, dice Juan Caballero, investigador de Imdea Software y coautor. de un artículo sobre los mercados de aplicaciones citado en el informe de Lituania. “Encontramos muchos problemas de privacidad, pero es difícil generalizar a los grandes proveedores de teléfonos como Huawei y Xiaomi. Pero hay empresas más pequeñas que han tenido muchos problemas. Se vio que era claramente una cosa sistémica ”, agrega.
Un terminal barato puede tener más programas preinstalados porque los fabricantes esperan seguir ganando dinero vendiendo los datos de uso de sus clientes. “Muchos usuarios piensan que compran el teléfono y eso es todo, pero no lo hacen”, dice Caballero. “La relación va más allá. Para una parte de los fabricantes, el negocio continúa con sus datos, con acuerdos con terceros, generalmente en el área de publicidad. Los vendedores chinos e indios atacan el mercado a un costo muy bajo, con márgenes mínimos. Esto afecta especialmente a los celulares en países con terminales más baratos y hay más. No es la única razón, pero es fundamental ”, añade.
¿Por qué no es un gran escándalo?
¿Por qué todo este supuesto marketing de datos no es más conocido y transparente? Es un tema complejo. Todos los usuarios necesitan su Android en segundo plano, sin tener que pensar todo el tiempo que podrían estar mirándolos o espiándolos. Es el gran cuello de botella de la privacidad: pocos tienen, en principio, algo que temer, dicen. Hasta que un día, alguien puede querer saber detalles de su vida porque se ha cruzado una línea roja desconocida.
“Son muchos los aspectos sociales, regulatorios y económicos que pueden influir en el impacto relativo que puede tener este tipo de descubrimiento”, dice Vallina. “Por un lado, por ejemplo, la forma en que el Reglamento General de Protección de Datos define las responsabilidades que tiene cada país para cumplir con la norma coloca la responsabilidad en países con intereses económicos en conflicto”, dice.
Si bien a nivel regulatorio lógicamente despierta más interés, sigue siendo un panorama muy complejo, plagado de conflictos de intereses. “Si hablamos de reguladores, es un poco diferente. Se lo toman muy en serio, pero hay muchos proveedores, con muchos modelos y acuerdos con terceros, de ahí muchos problemas ”, dice Caballero.
En el informe lituano, también citan los problemas que ofrece la tienda de aplicaciones de Huawei. Cuando el usuario no encuentra allí la aplicación que busca, se le envía a otro mercado, casi sin controles. «Huawei le redirige a terceros cuando un solicitud no está en tu tienda. En nuestro último artículo, mostramos que, en estos mercados de terceros, la probabilidad de que descargue malware (un programa malicioso) o un programa potencialmente no deseado (PUP) es cinco veces más grande que si lo descargara de Play Store. Con esta política, Huawei disminuye su seguridad y muchos usuarios no se dan cuenta ”, agrega.
Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Gorjeo o suscríbete aquí para recibir nuestro boletín semanal.
Inicia sesión para seguir leyendo
Solo por tener una cuenta, puedes leer este artículo, es gratis
Gracias por leer EL PAÍS
