un analisis del software de android preinstalado´ · 1 un analisis del software de android...

1

Un analisis del software de Android preinstalado

Julien Gamba∗†, Mohammed Rashed†, Abbas Razaghpanah‡, Juan Tapiador † y NarseoVallina-Rodriguez∗§

∗ IMDEA Networks Institute, † Universidad Carlos III de Madrid, ‡ Stony Brook University, § ICSI

Resumen

Android es un sistema operativo de codigo abier-to. Esta caracterıstica hace posible que los fabri-cantes de dispositivos inteligentes desarrollen ydesplieguen versiones personalizadas del sistemaoperativo junto con un conjunto de aplicacionespreinstaladas, a menudo para diferenciar sus pro-ductos en el mercado. Algunos proveedores de dis-positivos han sido objeto de escrutinio por practicasde recopilacion de datos privados potencialmenteinvasivas y otros comportamientos daninos o nodeseados de las aplicaciones que pre-instalan ensus dispositivos Sin embargo, el panorama del soft-ware preinstalado en Android ha permanecido engran parte inexplorado, particularmente en cuanto alas implicaciones de seguridad y privacidad de talespersonalizaciones. Este artıculo presenta el primerestudio a gran escala de software preinstalado endispositivos Android fabricados por mas de 200vendedores. Nuestro trabajo se basa en un granconjunto de datos de firmware de Android adquiridoen todo el mundo utilizando metodos de crowdsour-cing. Esto nos permite responder a preguntas rela-cionadas con las partes interesadas e involucradasen la cadena de suministro, desde fabricantes dedispositivos y operadores de redes moviles hastaorganizaciones de terceros que ofrecen publicidaden lınea y servicios de tracking (o rastreo) de usua-rios. Nuestro estudio nos permite descubrir tambienlas relaciones entre estos actores, y que parecengirar principalmente en torno a la publicidad y losservicios basados en datos. En general, nuestro es-tudio revela como la cadena de suministro en tornoal codigo abierto de Android carece de transparen-cia y ha facilitado comportamientos potencialmentedaninos, incluyendo el acceso a datos sensibles sinconsentimiento del usuario. Concluimos el artıculocon una serie de recomendaciones para mejorar latransparencia, la atribucion y responsabilidad en elecosistema de Android

I. INTRODUCCION

La naturaleza de codigo abierto de Android ysu licencia de uso hace posible que cualquier fa-bricante desarrolle una version personalizada delsistema operativo junto que, en muchos casos, in-cluye aplicaciones preinstaladas en la particion delsistema. La mayorıa de los vendedores de telefo-nos aprovechan esta oportunidad para dar valoranadido a sus productos como un diferenciador delmercado, generalmente a traves de asociaciones yacuerdos con operadores de redes moviles (MNO),redes sociales y proveedores de contenido. Googleno prohıbe este comportamiento, y ha desarrolladosu compatibilidad con un programa de compati-bilidad [7] que establece los requisitos que debecumplir el sistema operativo modificado para seguirsiendo compatible con las aplicaciones estandar deAndroid, independientemente de las modificacionesintroducidas. Los dispositivos realizados por pro-veedores que forman parte del programa AndroidCertified Partners [4] vienen precargados con elconjunto de aplicaciones de Google (por ejemplo,Play Store y Youtube). Google no proporciona de-talles sobre el proceso de certificacion. Ademas, lasempresas que desean incluir el servicio Google Playsin la certificacion pueden externalizar el diseno delproducto a un fabricante certificado (ODM) [6].

Certificado o no, no todo el software preinstala-do no es deseado por los usuarios, y el termino“bloatware” es utilizado a menudo. El proceso decomo un conjunto particular de aplicaciones terminaempaquetado en el firmware de un dispositivo no estransparente para el usuario final, y varios casosaislados sugieren que carece de mecanismos decontrol que garanticen que el firmware esta librede vulnerabilidades [23], [24] o aplicaciones poten-cialmente maliciosas y no deseadas. Por ejemplo,en BlackHat USA 2017, Johnson et al. [81], [46]describieron una potente puerta trasera presen-te en el firmware de varios modelos de telefo-nos inteligentes Android, incluido el popular BLUR1 HD. En respuesta a esta divulgacion, Amazon

2

elimino los productos Blu de su catalogo [2]. Laempresa Shanghai Adups Technology Co. Ltd. fueidentificada como responsable por este incidente.El mismo informe tambien discutio la presenciade potenciales vulnerabilidades en servicios crıti-cos del sistema. El troyano Triada tambien se haencontrado recientemente integrado en el firmwarede varios telefonos inteligentes Android de baja ga-ma [76], [65]. Otros casos de malware encontradospreinstalados han sido Loki (spyware y adware) ySlocker (ransomware), que fueron detectados en elfirmware de varios telefonos de alta gama [5].

Los telefonos Android tambien juegan un papelclave en las practicas de recopilacion de datos agran escala seguidas por muchos agentes de laeconomıa digital, incluidas las empresas de publi-cidad y seguimiento o rastreo de usuarios. One-Plus ha estado bajo sospecha por recopilar datossensibles y muy detallados del usuario (PII) ensus telefonos inteligentes [54], [53], y tambien porofrecer la capacidad de permitir el rooteado remotodel telefono [52], [51]. En julio de 2018, el NewYork Times revelo la existencia de acuerdos se-cretos entre Facebook y fabricantes de dispositivoscomo Samsung [31] para recopilar datos privadosde usuarios sin su conocimiento. Este incidente estasiendo investigado por las autoridades federales delos Estados Unidos [32]. Ademas, los usuarios depaıses en desarrollo que carecen de leyes de pro-teccion de datos estrictas pueden correr un riesgoaun mayor. El Wall Street Journal ha revelado lapresencia de un aplicacion preinstalada que envıala ubicacion geografica de los usuarios y los iden-tificadores del dispositivo a GMobi, una agencia depublicidad movil que se ha asociado a actividadesde fraude publicitario [13], [66]. Recientemente, laComision Europea expreso publicamente su preo-cupacion por los fabricantes chinos como Huawei,alegando que estaban obligados a cooperar con losservicios nacionales de inteligencia mediante la ins-talacion de puertas traseras en sus dispositivos [29].Objetivos de investigacion y hallazgos

Hasta donde sabemos, ningun estudio ha ana-lizado sistematicamente el vasto ecosistema desoftware preinstalado en dispositivos Android y susimplicaciones de privacidad y seguridad. Este eco-sistema ha permanecido en gran parte inexploradodebido a la dificultad inherente para acceder a dichosoftware a escala y a traves de varios fabrican-tes. Esta situacion hace que tal estudio sea masrelevante aun, ya que i) estas aplicaciones, quenormalmente no estan disponibles en las tiendas

de aplicaciones, han escapado al escrutinio de losinvestigadores y reguladores; y ii) los usuariosfinales desconocen su presencia en el dispositivo,lo que podrıa implicar falta de consentimiento en laobtencion de los datos obtenidos. En este artıcu-lo, buscamos arrojar luz sobre la presencia y elcomportamiento del software preinstalado en losdispositivos Android. En particular, nuestro objetivoes responder las siguientes preguntas:

¿Cual es el ecosistema de aplicaciones preins-taladas en dispositivos Android ası como losagentes que forman la cadena de suministro?¿Cuales son las relaciones entre los proveedoresde dispositivos y otras partes interesadas (p. Ej.,MNO y servicios de terceros de publicidad yrastreo de usuarios)?¿Las aplicaciones preinstaladas ¿recopilan infor-macion privada y de identificacion personal (PII)?Si es ası, ¿con quien lo comparten?¿Hay alguna aplicacion danina u otra potencial-mente peligrosa entre el software preinstalado?

Para abordar estas preguntas, desarrollamos unaagenda de investigacion que gira en torno a cuatroelementos principales:

1. Recopilamos muestras de firmware ası comoinformacion de trafico de dispositivos del mundoreal utilizando metodos de crowdsourcing (§II).Gracias a ello, hemos obtenido muestras de firm-ware de 2.748 usuarios que abarcan 1.742 mo-delos de dispositivos de 214 fabricantes. Nuestrabase de usuarios cubre 130 paıses que incluyenlos principales mercados de Android. Nuestroconjunto de datos contiene 424,584 muestras desoftware diferente, de los cuales solo el 9 % delos APK estan presentes en Google Play. Com-plementamos este conjunto de datos con flujosde trafico asociados con 139,665 aplicacionesunicas, incluidas las preinstaladas, que han sidoproporcionadas por mas de 20.4K usuarios dela aplicacion Lumen [85] de 144 paıses. Hastadonde sabemos, este es el mayor conjunto dedatos con muestras de firmware de Android delmundo real analizado hasta ahora.

2. Realizamos una investigacion del ecosistemade aplicaciones de Android preinstaladas y losactores involucrados en la cadena de suministro(§III) gracias al analisis del manifiesto de losejecutables Android, sus firmas y certificados dedesarrollador, y las librerıas de terceros (TPL)que utilizan. Nuestro analisis cubre 1.200 desa-rrolladores unicos asociados con los principales

3

fabricantes, proveedores, operadores de redesmoviles y empresas de servicios de Internet.Este analisis descubre un vasto panorama delibrerıas de terceros (11,665 TPL unicos), mu-chas de las cuales proporcionan principalmenteservicios basados en la obtencion y procesadode datos personales como la publicidad en lınea,servicios de tracking y analytics, y redes sociales

3. Extrajimos y analizamos un amplio conjunto depermisos personalizados (4,845) declarados porproveedores de hardware, MNO y servicios deterceros que abarcan empresas de seguridad,alianzas y consorcios industriales, fabricantes deconjuntos de chips y desarrolladores de nave-gadores de Internet. Tales permisos pueden po-tencialmente exponer datos y servicios sensiblesa otras aplicaciones para acceder a recursosprivilegiados del sistema y datos confidencialesen una forma que elude el modelo de permisosde Android. Una inspeccion manual revela unacadena de suministro muy compleja que involu-cra diferentes agentes, y posibles asociacionescomerciales entre ellos (§IV).

4. Llevamos a cabo un analisis del comportamientode casi el 50 % de las aplicaciones en nuestroconjunto de datos utilizando herramientas deanalisis estatico y dinamico.(§V). Nuestros re-sultados revelan que una parte importante delsoftware preinstalado exhibe un comportamientopotencialmente danino o no deseado. Si bien sesabe que la recopilacion de datos personalesy el seguimiento de usuarios es generalizadaen el ecosistema de aplicaciones de Androiden su conjunto [77], [83], [84] encontramos quetambien es bastante frecuente en aplicacionespreinstaladas. Hemos identificado instancias deactividades de seguimiento de usuarios median-te software de Android preinstalado, y bibliotecasde terceros integradas, que van desde la recopi-lacion del conjunto habitual de PII y datos degeolocalizacion a practicas mas invasivas queincluyen el acceso al correo electronico personaly metadatos sensibles como las llamadas te-lefonicas, contactos y una variedad de estadısti-cas de comportamiento y de uso en algunoscasos. Tambien encontramos algunas muestrasde malware aisladas pertenecientes a familias demalware conocidas, segun VirusTotal, con preva-lencia en los ultimos anos (por ejemplo, Xynyin,SnowFox, Rootnik, Triada y Ztorg),y troyanosgenericos que muestran un conjunto estandarde comportamientos maliciosos (por ejemplo,

promocion silenciosa de aplicaciones, fraude deSMS, fraude publicitario y fraude de clic de URL).

Con todo esto, nuestro trabajo revela por pri-mera vez relaciones complejas entre los actoresdel ecosistema de Android, en los que los datosdel usuario parecen ser el motor principal de es-ta industria. Descubrimos un vasto ecosistema deagentes involucrados en el desarrollo de softwaremovil, ası como practicas de ingenierıa de softwarebastante deficientes, ası como una falta de trans-parencia en la cadena de suministro que aumentainnecesariamente los riesgos de seguridad y pri-vacidad de los usuarios finales. Concluimos estedocumento con varias recomendaciones para paliaresta situacion, incluidos modelos de transparenciapara mejorar la atribucion y responsabilidad de losagentes, y mecanismos mas claros para obtenerel consentimiento informado del usuario. Dada laescala del ecosistema y la necesidad de realizarinspecciones manuales para garantizar la seguridadde las muestras obtenidas, pondremos nuestro da-taset a disposicion de la comunidad investigadoray los reguladores gradualmente para impulsar otrasinvestigaciones.

II. OBTENCION DE DATOS

La obtencion de muestras de aplicaciones preins-taladas y otros artefactos de software (por ejemplo,certificados instalados en la root store del sistema)a escala es un reto desafiante. Esto se debe a quecomprar todos los modelos de telefonos moviles (ysus muchas variaciones) disponibles en el mercadoes inviable. Por tanto, hemos decidimos hacer unaherramienta que nos permita a traves de crowdsour-cing la coleccion de software preinstalado: Firm-ware Scanner [33]. Utilizando Firmware Scanner,obtuvimos software preinstalado de 1,742 modelosde dispositivos. Tambien decidimos usar Lumen,una aplicacion que tiene como objetivo promover latransparencia movil y permitir el control del usuariosobre su trafico movil [85], [48]. Lumen nos permi-te correlacionar la informacion que extraemos delanalisis estatico, para un subconjunto de aplicacio-nes moviles, con trafico de red generado por usua-rios moviles mientras interactuan organicamentecon sus dispositivos. En esta seccion, explicamoslos metodos de investigacion y analisis implemen-tados por cada herramienta y presentamos nuestrodataset. En el resto de esta seccion, explicamoslos metodos implementados por cada aplicacion y

4

presentamos nuestros datasets. Discutimos las im-plicaciones eticas de nuestra recopilacion de datosen la Seccion II-C.

II-A. Firmware Scanner

Disponible publicamente en Google Play [33],FirmwareScanner es una aplicacion de Android di-senada para el proposito de este estudio. Firmwa-reScanner busca y extrae aplicaciones preinstala-das y archivos DEX en las carpetas /system/,bibliotecas lib y lib64 ubicadas en /system/,cualquier archivo en la carpeta /system/vendor/(si ese directorio existe), y certificados raız ubica-dos en /system/etc/security/cacerts/. Po-demos distinguir las aplicaciones preinstaladas delas instaladas por el usuario ya que estas ulti-mas son instaladas en /data/app/. Para reducirel tiempo de escaneo y subida, FirmwareScannercalcula los hash MD5 de los archivos relevantes(por ejemplo, aplicaciones, bibliotecas y certificadosraız) y luego envıa la lista de estos hash a nuestroservidor. Solo aquellos ficheros que falten en nues-tro dataset se suben a nuestro servidor a traves deuna conexion Wi-Fi con el fin de no afectar el plande datos del usuario.Dataset: Gracias a 2.748 usuarios que han ins-talado organicamente el Firmware Scanner, obtuvi-mos versiones de firmware para 1.742 modelos dedispositivos unicos1 de 214 fabricantes2 como seresume en la Tabla I.

Nuestro conjunto de datos contiene 424,584 ar-chivos unicos (de acuerdo a su hash MD5) comose muestra en la Figura 1 para un subconjuntode fabricantes seleccionados. Para cada dispositivotrazamos tres puntos, uno para cada tipo de archivo,mientras que la forma indica la version principal deAndroid instalada en el dispositivo.3 Como podemosver, el numero de archivos preinstalados varıa mu-cho de un vendedor a otro. Aunque no es sorpren-dente ver una gran cantidad de bibliotecas nativasdebido a las diferencias de hardware, algunos de losproveedores incorporan cientos de aplicaciones adi-cionales (es decir, archivos “.apk”) en comparacioncon otros fabricantes que ejecutan la misma versionde Android. El resto de nuestro estudio se centraen 82,501 aplicaciones de Android (es decir, “.apk”)presentes en nuestro dataset, dejando el analisis de

certificados raız y bibliotecas para trabajos futuros.Nuestra base de usuarios se distribuye geografi-

camente en 130 paıses, sin embargo, el 35 % denuestros usuarios se encuentran en Europa, el 29 %en America (Norte y Sur), y 24 % en Asia. Ademas,hasta el 25 % y el 20 % del numero total de dispo-sitivos en nuestro conjunto de datos pertenecen aSamsung y Huawei, respectivamente. Estas figurasson coherentes con las estadısticas de mercadodisponibles en la web [34], [9]. Mientras que ambosfabricantes son proveedores certificados por Goo-gle, nuestro conjunto de datos tambien contienedispositivos Android de gama baja de fabricantesque se dirigen a mercados como Tailandia, Indone-sia e India: muchos de estos proveedores no estancertificados por Google. Finalmente, para evitar in-troducir sesgos en nuestro resultados, excluimos321 telefonos potencialmente rooteados.

II-B. Lumen

Lumen es una aplicacion de Android disponibleen Google Play que tiene como objetivo promover latransparencia movil y permitir el control del usuariosobre sus datos personales y trafico. Lumen utilizael permiso VPN de Android para interceptar y ana-lizar todo el trafico generado por el dispositivo en

1Utilizamos el hash MD5 del IMEI para identificar de formaexclusiva a un usuario, y la firma digital de compilacion delproveedor para identificar de forma unica un modelo de dis-positivo determinado. Tenga en cuenta que dos dispositivoscon la misma firma digital pueden personalizarse debido a lapresencia de otros actores en la cadena de ensamblaje comooperadores moviles y, por lo tanto, pueden tener diferentesaplicaciones preinstaladas.

2Confiamos en la informacion proporcionada por el fabri-cante que podrıa ser falsa. Por ejemplo, Alps renombra comoıPhone.algunos de sus modelos Android. Segun la informaciondisponible en varios mercados online, son replicas de iOSbasadas en Android.

3Encontramos que 5,244 de las aplicaciones no implementanninguna actividad, servicio o receptor Android (Activity, Serviceor Provider). Estas aplicaciones pueden usarse potencialmentecomo proveedores de recursos y contenedores (por ejemplo,imagenes, o fuentes) para otras aplicaciones.

4Consideramos que un dispositivo dado esta rooteado deacuerdo a tres senales. Primero, cuando Firmware Scannerha finalizado la carga de binarios preinstalados, la aplicacionpregunta al usuario si el telefono esta rooteado de acuerdo consu propio entendimiento (tenga en cuenta que el usuario puedeoptar por no responder la pregunta). Como complemento,utilizamos la biblioteca RootBeer [62] para verificar de formaprogramatica si un dispositivo esta potencialmente rooteado.Si alguna de estas fuentes indica que el dispositivo estapotencialmente rooteado, lo consideramos como tal. Finalmen-te, descartamos dispositivos donde hay evidencia de que sehan instalado ROM personalizadas (por ejemplo, LineageOS).Discutimos las limitaciones de este metodo en la Seccion VI.

5

acer

adva

nal

lvie

wal

lwin

ner

alps

amlo

gic

arch

osas

usbl

ackb

erry

blac

kvie

w blu bq

cool

pad

doog

eegi

onee

goog

leho

nor

htc

huaw

eile

eco

leno

vo lge

mei

zum

etro

pcs

micr

omax

mot

orol

ano

kia

onep

lus

oppo

posit

ivo

rca

sam

sung

smar

tfren

softw

inne

rsso

ny tcl

tecn

ove

rizon vivo

voda

fone

wiko

xiao

mi

zte

Vendor

100

101

102

103Nu

mbe

r of f

iles (

log

scal

e)Major versions

456789

Files typesAppsLibsCerts

Figura 1: Numero de archivos por proveedor. No mostramos los proveedores para los que tenemos menosde 3 dispositivos

Vendedor Paıs Proveedorcertificado

Firmas digitalde compilacion Usarios Archivos

(med.)Apps(med.)

Bibs.(med.)

DEX(med.)

Certificados(med.)

Archivos(total)

Apps(total)

Samsung South Korea Yes 441 924 868 136 556 83 150 260,187 29,466Huawei China Yes 343 716 1,084 68 766 96 146 150,405 12,401LGE South Korea Yes 74 154 675 84 385 89 150 58,273 3,596Alps Mobile China No 65 136 632 56 385 46 148 29,288 2,883Motorola US/China Yes 50 110 801 127 454 62 151 28,291 2,158

Total (214 vendedores) — 22 % 1,742 2,748 424,584 82,501

Cuadro I: Estadısticas generales para los 5 principales proveedores de nuestro conjunto de datos.

espacio de usuario e in situ, incluso si esta cifradoo encriptado, sin necesidad de rootear el disposi-tivo. Al ejecutarse localmente en el dispositivo delusuario, Lumen es capaz de correlacionar los flujosde trafico con la informacion a nivel del sistemay la actividad de la aplicacion. La arquitectura deLumen esta disponible publicamente [85]. Lumennos permite determinar con precision que aplicaciones responsable de una fuga de datos personalesobservada desde el punto de vista del usuario ydesencadenado por usuarios reales en condicionesnormales de uso. Como todo el analisis ocurre enel dispositivo, solo los metadatos de trafico proce-sados se extraen del dispositivo.

Dataset: Para este estudio, utilizamos registrosde trafico anonimos proporcionados por mas de20.4K usuarios de Lumen de 144 paıses (segunestadısticas de la Play Store) procedentes de telefo-nos Android fabricados por 291 proveedores. Estoincluye 34M de flujos de trafico de mas de 139Kaplicaciones unicas (298K combinaciones unicasde nombre y version de paquete o aplicacion). Sinembargo, como Lumen no recopila la firma digital dela aplicacion, para encontrar la superposicion entreel conjunto de datos de Lumen y las aplicacionespreinstaladas, relacionamos los datasets (es decir,las based de datos de Lumen y FirmwareScanner) atraves del paquete Android, version de aplicacion yproveedor de dispositivo o fabricante. Mientras este

metodo no garantiza que las aplicaciones super-puestas sean exactamente las mismas, es seguroasumir que los telefonos que no estan rooteadosno tendran diferentes aplicaciones con los mismosnombres de paquete y versiones de la aplicacion.Como resultado, tenemos 1.055 combinaciones uni-cas de aplicacion/version/vendedor de dispositivopresentes en ambos datasets.

II-C. Preocupaciones eticas

Nuestro estudio implica la recopilacion de datosde usuarios reales que instalaron organicamenteFirmwareScanner o Lumen en sus dispositivos. Porlo tanto, seguimos los principios del consentimientoinformado [75] y evitamos la recopilacion de cual-quier informacion personal o sensible. Buscamos laaprobacion de nuestra Comite de Etica institucionaly de nuestro Oficial de Proteccion de Datos (DPO)antes de comenzar con la recoleccion y procesadode los datos. Ambas herramientas tambien propor-cionan amplias y detalladas polıticas de privacidaden su perfil de Google Play. A continuacion discu-timos detalles y consideraciones especıficos paracada herramienta.Firmware Scanner: Esta aplicacion recopila algu-nos metadatos sobre el dispositivo para atribuir ob-servaciones a los fabricantes (por ejemplo, su mo-delo y huella digital o firma) junto con algunos datossobre las aplicaciones preinstaladas (extraıdas del

6

Administrador de paquetes), operador de telefonıamovil (MNO) y usuario (la zona horaria y los codigosMCC y MNC de su tarjeta SIM, si estan disponiblespara identificar aspectos geograficos). Calculamosel hash MD5 del IMEI del dispositivo para identificarduplicados y versiones de firmware actualizadaspara un dispositivo determinado.Lumen: los usuarios de Lumen deben optar activa-mente para participar en el experimento dos vecesantes de iniciar la intercepcion de trafico [75]. Lu-men preserva la privacidad de sus usuarios al reali-zar el procesamiento y analisis de flujo en el dispo-sitivo, solo enviando metadatos de trafico generadopor las apps anoninimamente para fines de inves-tigacion. Lumen no recopila ningun identificador dedispositivo o de usuario, ni el contenido de lasconexiones generadas por el dispositivo del usuario.Para proteger aun mas la privacidad del usuario,Lumen tambien ignora todos los flujos generadospor aplicaciones sensibles como el navegador web,ya que estas pueden potencialmente desanonimizara un usuario. Lumen permite al usuario deshabilitarla intercepcion de trafico en cualquier momento.

III. ANALISIS DE LA CADENA DE ENSAMBLADO

La apertura del sistema operativo Android hapermitido la creacion de una compleja cadena desuministro formada por diferentes tipos de agentesy organizaciones, ya sean fabricantes, operadoresmoviles, desarrolladores y organizaciones afiliadas,y distribuidores. Estos actores pueden agregar apli-caciones y caracterısticas propietarias a dispositi-vos Android con el fin de brindar una mejor expe-riencia de usuario, dar valor anadido a sus produc-tos o brindar acceso a servicios propietarios. Sinembargo, tras estas practicas tambien podrıa haberun beneficio economico (mutuo) basado en la ob-tencion y procesado de datos personales [31], [13].Esta seccion proporciona una descripcion generaldel software Android preinstalado para descubriralgunas de las areas grises que rodean a estaspracticas, analizar el amplio y diverso conjunto dedesarrolladores involucrados, la presencia de biblio-tecas de tracking y publicidad de terceros, y analizarel papel de cada agente.

III-A. Ecosistema de desarrolladores

Comenzamos nuestro estudio analizando las or-ganizaciones que firman cada aplicacion preins-talada. Primero, agrupamos las aplicaciones porlos certificados utilizados para firmar el software,

y luego confiamos en la informacion presente enel campo Issuer del certificado para identificarel desarrollador [14]. A pesar de que esta es lasenal mas fiable para identificar a la organizacionque firma el software, sigue siendo ruidosa ya queuna empresa puede usar multiples certificados, unopara cada unidad organizativa. Mas importante aun,estos son certificados autofirmados, lo que reducesignificativamente la confianza que se puede depo-sitar en ellos.

Como resultado de estas limitaciones, no pu-dimos identificar a la companıa detras de varioscertificados (indicados como “Companıa descono-cida” en la Tabla II) debido a informacion insufi-ciente o dudosa en el certificado: por ejemplo, elcampo Issuer de muchas apps preinstaladas solocontiene las menciones de la Companıa y Depar-tamento. Ademas, hemos encontrado aplicacionesfirmadas por 42 certificados diferentes de .AndroidDebug” en telefonos de 21 marcas diferentes. Es-tos casos reflejan practicas de desarrollo pobres ypotencialmente inseguras a medida que se utilizael certificado de depuracion de Android para fir-mar automaticamente aplicaciones en entornos dedesarrollo, permitiendo ası que otras aplicacionesfirmadas con ese certificado accedan a su funcio-nalidad sin solicitar ningun permiso. La mayorıa delas tiendas de aplicaciones (incluida Google Play)no aceptaran la publicacion de un aplicacion firma-da con un certificado de depuracion [8]. Ademas,tambien encontramos hasta 115 certificados quesolo mencionan “Android” en el campo del emisor.Se supone que una gran parte (43 %) de esoscertificados se emiten en los EE. UU., Mientrasque otros parecen haber sido emitidos en Taiwan(16 %), China (13 %) y Suiza (13 %). En ausenciade una lista publica de certificados oficiales dedesarrollador, o de una autoridad certificadora, noes posible verificar su autenticidad o conocer a supropietario, como se discutira en la Seccion VI.

Con estas limitaciones en mente, extrajimos1,200 certificados y firmas unicos de nuestro con-junto de apps preinstaladas. La tabla II muestralas 5 empresas mas presentes en el caso de losvendedores de telefonos (izquierda) y otro tipo deempresas (derecha). Este analisis descubrio unvasto ecosistema de software de terceros, incluidasgrandes empresas digitales (por ejemplo, LinkedIn,Spotify y TripAdvisor), ası como servicios de pu-blicidad y tracking. Este es el caso de ironSour-ce, una empresa de publicidad que firma softwa-re preinstalado [42] que ha sido encontrado en

7

Nombre deempresa

Cantidad decertificados Paıs Proveedor

certificado?

Google 92 United States N/AMotorola 65 US/China YesAsus 60 Taiwan YesSamsung 38 South Korea YesHuawei 29 China Yes

Total (vendedores) 740 — —

Nombre deempresa

Cantidad decertificados Paıs Cantidad de

vendedores

MediaTek 19 China 17Aeon 12 China 3Tinno Mobile 11 China 6Verizon Wireless 10 United States 5Unknown company 7 China 1

Total 460 — 214

Cuadro II: Izquierda: los 5 desarrolladores mas frecuentes (segun el numero total de aplicaciones firmadaspor ellos), y derecha: para otros empresas.

Asus, Wiko y otros fabricantes de dispositivos, yTrueCaller, un servicio para bloquear llamadas omensajes de texto no deseados [56]. Segun susitio web y tambien fuentes independientes [39],[70], TrueCaller utiliza mecanismos de crowdsour-cing para construir un gran conjunto de datos denumeros de telefono utilizado para spam y tambienpara publicidad. Del mismo modo, hemos encon-trado 123 aplicaciones (por su MD5) firmadas porFacebook. Estas aplicaciones se encuentran en 939dispositivos, el 68 % de los cuales son de Samsung.Tambien hemos encontrado aplicaciones firmadaspor AccuWeather, un servicio meteorologico que hasido previamente denunciado por obtener datos per-sonales agresivamente [86]. Finalmente, hemos en-contrado otras companıas de software como Adups,responsable de la puerta trasera de Adups [45],y GMobi [35], una companıa de publicidad movilpreviamente acusada de practicas dudosas por elWall Street Journal [13].

III-B. Servicios de terceros

Al igual que en la web y apps disponibles enGoogle Play Store, los desarrolladores de aplica-ciones moviles pueden incrustar en su softwarepreinstalado bibliotecas de terceros (TPL, o third-party libraries) proporcionadas por otros empresas,incluidas las bibliotecas (SDK) proporcionadas porservicios de publicidad online, servicios de analıti-cas y tracking, o redes sociales. En esta seccionusamos LibRadar, una herramienta resistente a laofuscacion, para identificar los TPL utilizados en lasaplicaciones de Android [90], en nuestro conjuntode datos para examinar su presencia y las posiblesimplicaciones sobre la privacidad para los usuarios:cuando estan presentes en aplicaciones preinsta-ladas, las TPL tienen la capacidad de monitorearactividades del usuario longitudinalmente [89], [84].Excluimos las TPL conocidas que brindan sopor-te de desarrollo como biblioteca de protocolos de

Categorıa # bibliotecas # apps # vend. Ejemplo

Anuncio 164 (107) 11,935 164 BrazeAnalitica movil 100 (54) 6,935 158 ApptentiveRedes sociales 70 (20) 6,652 157 Twitter

Todas las categorias 334 25,333 165 —

Cuadro III: Categorıas de TPL seleccionadaspresentes en aplicaciones preinstaladas. Entreparentesis, reportamos el numero de TPLs identi-ficadas cuando se agrupan por el nombre del Javapackage.

red. Primero, clasificamos las 11,665 TPL unicasidentificadas por LibRadar++ de acuerdo con lascategorıas definidas por [82], AppBrain [50], y Pri-vacyGrade [57]. Clasificamos manualmente aque-llas TPLs que no fueron clasificadas previamente.

Una vez clasificadas, enfocamos nuestro estudioen aquellas categorıas que podrıan causar dano ala privacidad de los usuarios, como las libreariasasociadas a servicios de tracking y la publicidaden lınea. Encontramos 334 TPLs en tales cate-gorıas, como se resume en la Tabla III. Podrıamosidentificar empresas de la publicidad y seguimientode usuarios como Smaato (especializada en anun-cios geograficos [63]), GMobi, Appnext, ironSource,Crashlytics y Flurry. Algunos de estos proveedoresexternos tambien se han identificado en la SeccionIII-A ya que tambien despliegan sus propias appscomo software preinstalado gracias a acuerdos conlos vendedores, o son desarrolladores destacadosresponsables de aplicaciones publicadas en GooglePlay Store [84]. Encontramos 806 aplicaciones queincorporan el Facebook Graph SDK que se distri-buye a traves de 748 dispositivos. Los certificadosde estas aplicaciones sugieren que 293 de ellasfueron firmadas por el proveedor del dispositivo y30 por operadores de telefonıa movil (solo 98 estanfirmadas por el propio Facebook). La presencia delos SDK de Facebook en aplicaciones preinstaladaspodrıa, en algunos casos, ser explicado por los

8

acuerdos comerciales establecidos por Facebookcon proveedores de Android como revelo el NewYork Times [31].

Encontramos otras companıas digitales que ofre-cen servicios de analıtica y esquemas de mone-tizacion de aplicaciones basados en datos comoUmeng, Fyber (anteriormente Heyzap) y Kocha-va [84]. Ademas, tambien encontramos casos deempresas de analisis avanzado en telefonos Asuscomo Appsee [16] y Estimote [27]. Segun sus sitioweb, Appsee es un TPL que permite a los desarro-lladores registrar eventos relacionados con la inter-accion del usuario con su dispositivo [15], incluidoslos eventos tactiles y grabar el contenido de la pan-talla [83]. Si, por sı solo, grabar la pantalla del usua-rio no constituye una fuga de privacidad,registrar ycargar estos datos podrıa filtrar involuntariamenteinformacion privada, como detalles de autenticaciony credenciales del usuario. Estimote proporcionasoluciones avanzadas para geo-localizacion en in-teriores [27]. El SDK de Estimote permite que unaaplicacion reaccione a balizas inalambricas virtua-les con el fin, por ejemplo, de enviar notificacionespersonalizadas y publicidad al usuario al ingresarfısicamente en una tienda.

Finalmente, encontramos TPL proporcionadospor companıas especializadas en el mercadochino [90] en 548 aplicaciones preinstaladas. Lomas relevantes son el SDK de Tencent, AliPay (unservicio de pago) y el SDK de Baidu [19] (para publi-cidad y geolocalizacion / geocodificacion servicios).Los dos ultimos son posiblemente utilizados comoalternativa a Google Pay y Maps en el mercadochino, respectivamente. Solo una de las aplicacio-nes que incorporan estos SDK esta firmada por elproveedor de servicios real, lo que indica que supresencia como aplicaciones preinstaladas proba-blemente se deba a las decisiones de diseno delos los propios fabricantes y sus desarrolladores ocompanıas afiliadas.

III-C. Aplicaciones disponibles publicamente

Analizamos la Google Play Store para identificarcuantas de las aplicaciones preinstaladas encontra-das por Firmware Scanner estan disponibles parael publico en los mercados de aplicaciones. Esteanalisis se llevo a cabo el 19 de noviembre de 2018y solo usamos el nombre del paquete de la apppreinstalada como parametro. Descubrimos que so-lo el 9 % de los paquetes en nuestro dataset estanindexados en Google Play Store. Para aquellos

indexados, pocas categorıas dominan el espectrode aplicaciones preinstaladas de acuerdo con losmetadatos de Google Play, en particular comunica-cion, entretenimiento, productividad, herramientas yaplicaciones multimedia

La baja presencia de aplicaciones preinstala-das en Google Play Store sugiere que este tipode software podrıa haber escapado a cualquierescrutinio previo. De hecho, hemos encontradoejemplos de aplicaciones preinstaladas desarrolla-das por organizaciones prominentes que no sonpublicadas en Google Play. Por ejemplo, softwa-re desarrollado y firmado por Facebook (vease,com.facebook.appmanager), Amazon y Clean-Master entre otros. Del mismo modo, encontramosversiones no publicas de navegadores web popula-res (por ejemplo, el Navegador UME, y Opera).

De acuerdo a la informacion disponible en la PlayStore sobre la version de los paquetes preinstala-dos, encontramos que el software preinstalado dis-ponible publicamente en la Play Store se actualizancon mas frecuencia que el resto de las aplicacio-nes preinstaladas: el 74 % de las aplicaciones nopublicas no parece actualizarse y el 41 % de ellospermanecieron sin parchear durante 5 anos o mas.Si existe una vulnerabilidad en uno de estos apli-caciones (consulte la Seccion V), el usuario puedeestar en riesgo mientras siga usando el dispositivo.

IV. ANALISIS DE PERMISOS

Android implementa un modelo de permisos paracontrolar el acceso de las aplicaciones a datos con-fidenciales, sensibles, y recursos del sistema [55].Por defecto, no se permite que las aplicacionesrealicen ninguna operacion protegida. Los permisosde Android no se limitan a los definidos por AOSP:cualquier desarrollador de aplicaciones, incluidoslos fabricantes, puede definir sus propios permi-sos personalizados (“custom permissions”) para ex-poner su funcionalidad a otros aplicaciones [25].Utilizamos Androguard [3] para extraer y estudiarlos permisos, tanto declarados como solicitados,por las aplicaciones preinstaladas. Nos centramosprincipalmente en los permisos personalizados, yaque i) los servicios preinstalados tienen accesoprivilegiado a los recursos del sistema, y ii) los ser-vicios preinstalados privilegiados pueden (involunta-riamente) exponer servicios y datos crıticos, inclusosin requerir el acceso a los permisos oficiales deAndroid.

9

IV-A. Permisos personalizados declarados

Identificamos 1.795 nombres unicos de paquetesde Android en 108 proveedores de Android quedefinen 4.845 permisos personalizados. Excluimoslos permisos definidos por AOSP y los asociadoscon la mensajerıa en la nube de Google (GCM) [36].El numero de permisos declarados por fabricantede dispositivos Android varıa segun las marcas ylos modelos debido a las acciones de otros agentespresentes en la cadena de suministro. Clasificamoslas organizaciones que declaran permisos perso-nalizados en 8 grupos como se muestra en laTabla IV: fabricantes de dispositivos inteligentes (p.Ej., Samsung), MNO (p. Ej., Verizon), servicios deterceros (p. Ej., Facebook), empresas de AV (p. Ej.,Avast), alianzas industriales (p. Ej., GSMA), fabri-cantes de hardware y chipsets (p. Ej., Qualcomm) ynavegadores (p. Ej., Mozilla). No pudimos identificarcon certeza las organizaciones responsables parael 9 % de los permisos personalizados identifica-dos. La ausencia de buenas practicas de desarrolloentre los desarrolladores y fabricantes complicaesta clasificacion [25], obligandonos a seguir unproceso semi-manual que implica analizar multiplessenales para identificar sus posibles propositos y laatribucion.

Como se muestra en la Tabla IV, el 31 % de todoslos permisos personalizados declarados estan de-finidos por 31 proveedores de telefonos de acuer-do con nuestra clasificacion. La mayorıa de ellosestan asociados con servicios proprietarios comosoluciones de administracion de dispositivos movi-les (MDM) para clientes corporativos. Sin embar-go, tres proveedores representan mas del 68 %de los permisos personalizados totales; Samsung(41 %), Huawei(20 %) y Sony (anteriormente Sony-Ericsson, 7 %). La mayorıa de los permisos perso-nalizados definidos por los proveedores de hard-ware, junto con el conjunto de permisos declaradospor fabricantes de chips y MNOs estan expuestospor los servicios principales y crıticos del frame-work Android, incluido el navegador predetermina-do com.android.browser. Desafortunadamente,como se demostro en el caso MediaTek [78], ex-poner tales recursos sensibles en servicios crıticospuede aumentar la superficie de ataque si no seimplementan con cuidado.

Un analisis exhaustivo de los permisos perso-nalizados tambien sugiere (y en algunos casosconfirma) la presencia de acuerdos comercialesentre proveedores de telefonos moviles, operadores

moviles, servicios de analisis de datos y analıticas(por ejemplo, Baidu, ironSource y Digital Turbine),ygrandes corporaciones de la industria digital (porejemplo, Skype, LinkedIn, Spotify, CleanMaster yDropbox). Tambien encontramos permisos persona-lizados asociados con modulos previamente identi-ficados como vulnerables (por ejemplo, MediaTek)y servicios potencialmente daninos (por ejemplo,Adups). Discutimos un numero selecto de casos deinteres a continuacion.Soluciones VPN: Android proporciona soporte na-tivo a clientes VPN de terceros. Esta caracterısticase considera tan sensible ya que la aplicacion quesolicite este permiso adquiere la capacidad de rom-per el sandboxing de Android y monitorear el traficode los usuarios, independientemente de la aplica-cion [67], [79]. El analisis de los permisos persona-lizados revela que Samsung y Meizu implementansu propio servicio VPN. No esta claro por que estasimplementaciones propietarias de la interfaz VPNexisten, pero varios desarrolladores de solucionesVPN han reportado problemas de compatibilidad yaque el servicio VPN predeterminado de Android noesta soportando en dichos telefonos [1], [85], [79].Un analisis completo de estos servicios propietariosde VPN se propone como trabajo futuro.Facebook: Encontramos 6 paquetes diferentes fir-mados por Facebook, tres de ellos no disponiblesen Google Play. Estos paquetes declaran 18 per-misos personalizados como se muestra en la TablaV y que se han encontrado en 24 proveedores deAndroid, incluidos Samsung, Asus, Xiaomi, HTC,Sony y LG. Segun las quejas de los usuarios, dosde estos paquetes (com.facebook.appmanagery com.facebook.system) parecen descargar au-tomaticamente y de forma silenciosa software deFacebook como Instagram en los telefonos de losusuarios [68], [69]. Tambien encontramos interac-ciones entre Facebook y MNOs como Sprint.Baidu: El permiso para obtener la ubicaciongeografica de Baidu esta expuesto por aplicacionespreinstaladas, incluidos los modulos principales deAndroid, en 7 diferentes vendedores, principalmentechinos. Este permiso parece estar asociado con laAPI de geo-codificacion y geo-localizacion de Bai-du [18] y podrıa permitir a desarrolladores de appsel acceso a datos sensibles de usuario, eludiendola solicitud del permiso de ubicacion de Android.Digital Turbine: Hemos identificado 8 permisospersonalizados en 8 servicios asociados con DigitalTurbine y su subsidiaria LogiaGroup. Su polıtica deprivacidad indica que esta empresa recopila datos

10

Permisos Proveedores

personalizados Vendedor Terceros MNO Chipset AV / Securidad Ind. Alliance Navegador Otro

Total 4,845 (108) 3,760 (37) 192 (34) 195 (15) 67 (63) 46 (13) 29 (44) 7 (6) 549 (75)

Modulos Android

android 494 (21) 410 (9) — 12 (2) 4 (13) — 6 (7) — 62 (17)com.android.systemui 90 (15) 67 (11) 1 (2) — — — — — 22 (8)com.android.settings 87 (16) 63 (12) — 1 (1) — — — — 23 (8)com.android.phone 84 (14) 56 (9) — 5 (2) 3 (5) — — — 20 (10)com.android.mms 59 (11) 35 (10) — 1 (2) — — 1 (1) — 22 (8)com.android.contacts 40 (7) 32 (3) — — — — — — 8 (5)com.android.email 33 (10) 18 (4) — — — — — — 15 (17)

Cuadro IV: Resumen de permisos personalizados por categorıa de proveedor y su presencia en modulosbasicos sensibles de Android seleccionados.El valor entre parentesis informa el numero de proveedoresde Android en los que se encontraron permisos personalizados

Paquete Public # Fabricantes # Permisos

com.facebook.system No 18 2com.facebook.appmanager No 15 4com.facebook.katana (Facebook) Si 14 8com.facebook.orca (Messenger) Si 5 5com.facebook.lite (FB Lite) Si 1 1com.facebook.pages.app No 1 4

Total 3 24 18

Cuadro V: Paquetes de Facebook preinstalados entelefonos Android.

personales que van desde UID hasta registros detrafico que podrıan ser compartido con sus socioscomerciales [26]. Segun la informacion de SIM deestos dispositivos, los modulos preinstalados deDigital Turbine se encuentran principalmente enusuarios norteamericanos y asiaticos. Un nombrede paquete, com.dti.att (”dti”significa Digital Tur-bine Ignite), sugiere acuerdos comerciales con eloperador de telefonıa AT&T. Al inspeccionar sucodigo fuente, este paquete parece implementarun servicio integral de administracion de software,incluyendo las instalaciones y la eliminacion de apli-caciones por parte de los usuarios que se rastreany vinculan con datos personales, que solo parecenestar “enmascarados” (es decir, hash-ed).ironSource: la empresa de publicidad ironSourceexpone permisos personalizados relacionadoscon su AURA Enterprise Solutions [43]. Hemosidentificado varios paquetes especıficos deproveedores que exponen permisos personalizadosde ironSource en dispositivos fabricados porproveedores como Asus, Wiko y HTC (el nombredel paquete y las firmas del certificado sugierenque esos modulos posiblemente se introducencon colaboracion del vendedor). Segun materialcomercial publicado por ironSource [44], AURAtiene acceso a mas de 800 millones de usuarios pormes, y proporcionan acceso a servicios de analisis

avanzados ası como la precarga de software en losdispositivos de los clientes. Un analisis superficialde algunos de estos paquetes (por ejemplo,com.ironsource.appcloud.oobe.htc,com.ironsource.appcloud.oobe.asus)revela que proporcionan servicios Out-of-the-Box(OOBE) que permiten una precarga de softwarepersonalizada a cada usuario cuando estos abrensu dispositivo por primera vez [43], al mismo tiempoque monitoran las actividades.Otros servicios de publicidad y seguimiento:Analizar individualmente cada permiso personaliza-do introducido por servicios de terceros requerirıaun analisis mas alla del alcance de este estudio. Sinembargo, hay varios casos anecdoticos de interesque merecen ser considerados. Uno es el caso deuna aplicacion preinstalada firmada por Vodafone(Grecia) y presente en un dispositivo Samsungque expone un permiso asociado con Exus [30],una empresa especializada en gestion de riesgocrediticio y soluciones bancarias. Otro caso son lospermisos presentes en algunos telefonos Samsungy LG (probablemente vendidos por Verizon) rela-cionados con la empresa Synchronoss. Su polıticade privacidad reconoce la recopilacion, el procesa-miento y la comparticion de datos personales [64].Servicios de proteccion de llamadas: Identifica-mos tres companıas externas que brindan servi-cios para bloquear llamadas y mensajes de textoprovenientes de telefonos no deseados: Hiya [37],TrueCaller [56], y PrivacyStar [58]. La solucion deHiya parece estar integrada por T-Mobile (EE. UU.),Orange (Espana) y AT&T (EE. UU.) en telefonosSamsung y LG, posiblemente subsidiados por lascompanıas, de acuerdo con los certificados usa-dos para firmar la app. Las polıticas de privacidadde Hiya y TrueCaller indican que recopilan datospersonales de los usuarios, incluidos los contactos

11

Allia

nce

sA

V/S

ecurity

Ch

ipset

MN

OT

hird

−partie

s

a2000

alc

ate

l

allv

iew

alp

s

arc

hos

asus

bla

ckberr

y

blu bq

coolp

ad

doogee fly

gio

nee

google

his

ense

hm

d

htc

huaw

ei

lenovo lge

meiz

u

moto

rola

oppo

oyste

rs

sam

sung

sony

tcl

wik

o

xia

om

i

zte

ANT+FIDO Alliance

GSMALinux Foundation

MirrorlinkOpen Mobile Alliance

SIM Alliance

AetherPalAvast

BitDefenderHiya

InfrawareInside Secure

LogMeInLookoutMcafee

Panda SecurityQihoo360RSupportSymantec

TrendmicroTruecaller

ARM TrustzoneBroadcom

IntelMediatek

NVIDIAQualcomm

Wingtech

A1 HrvatskaAT&T

BouyguesCricket

Deutsche TelekomKorea Telecom

MetroPCSMobiltel BG

NTT DocomoOrange

S.K. TelecomSingtelSprint

T−MobileTIM

TracfoneVerizon

Vodafone

AmazonArgus/Azumio

BaiduCleanmaster

Digital TurbineDropboxEvernotefacebookFlipboardFuturedial

ICE SoundironSource

MicrosoftMobilesRepublic

MS SwiftKeyNaverNetflix

Peel TVSkypeSpotify

SynchronossTripAdvisor

TwitterWhatsApp

YahooYandex

YellowpagesZalo

Handset vendor

20

40

60

n

Figura 2: Permisos personalizados definidos porcompanıas de AV, MNOs, fabricantes de chipsets,y servicios de publicidad y tracking requeridos porapps preinstaladas.

almacenados en el dispositivo, varios UIDs y otrainformacion personal [38]1. La polıtica de privacidadde PrivacyStar, en cambio, afirma que cualquier in-formacion recopilada de los contactos de un usuariodado “NO se exporta fuera de la aplicacion paraningun proposito” [59].

IV-B. Permisos personalizados usados

El uso de permisos por parte de aplicaciones deAndroid preinstaladas sigue una distribucion poten-cial: 4.736 de las apps preinstaladas solicita al me-nos un permiso y 55 aplicaciones solicitan mas de100. El hecho de que las aplicaciones preinstaladassoliciten muchos permisos para implementar y ofre-cer su servicio no implica necesariamente una viola-

1Nota: la informacion presentada en su polıtica de privacidaddifiere cuando se accede desde una maquina en la U.E. olos EE. UU. En enero de 2019, ninguna de estas companıasmencionan la nueva directiva europea GDPR en sus polıticasde privacidad.

arcsoftbaidu inc.

bambuser abbitnpulse

blurbcentral antivirus

cequint inc.cnn

cootekdeezer.com

digital jigsawdiotek

evernotefacebook inc.

flexilisflipboard inc.

future dialgodaddy.com

hancomhdradio

infrawareironsource ltd.

ktshowlbesec

maingamesmobile safe

mobile systemsmobiles republic

mobilkom austria agmodula d.o.o.

naranyanuance communications

ooo yandexopera

orangepeel

project goth incqlixar

singtelslacker

social hubspotifysprint

sweetlabssymphony media gmbh

synchronoss tech.t−mobile

telecom italiatelenav inc.

tencube pte ltd.twitter

ucverizon wireless

vire labsvision objects

vlingovodafone group

vodafone portugalvodafone romania

whatsapp inc.wit−software

blac

kber

ry htc

huaw

ei

leno

vo lge

mot

orola

oppo

sam

sung

sony

−eric

sson

wiko

zte

Handset vendor

Sig

natu

re (

Org

)

10

20

30

n

Figura 3: Apps accediendo a permisos propietariosdefinidos por fabricantes de dispositivos.

cion de la privacidad del usuario. Sin embargo, iden-tificamos un numero significativo de apps que pa-recen potencialmente sobre-privilegiadas con acti-vidades sospechosas como com.jrdcom.Elabel— una app firmada por TCLMobile que solicita145 permisos y ha sido etiquetada como maliciosapor Hybrid Analysis —y com.cube26.coolstore(144 permisos). Del mismo modo, la calculadorapreinstalada que se encuentra en un Xiaomi Mi4c solicita la ubicacion del usuario y el estadodel telefono, lo que le da acceso a identificadoresunicos (UIDs) como el IMEI. Discutimos mas instan-cias de aplicaciones con privilegios excesivos en laSeccion V-C.Permisos peligrosos de Android. Estadisticamen-te, una aplicacion Android preinstalada solicita trespermisos peligrosos de AOSP (mediana). Cuandoobservamos el conjunto de permisos solicitados poruna aplicacion determinada (por el nombre del pa-quete) a traves de todos los proveedores, podemosnotar importantes diferencias. Investigamos talesvariaciones en un subconjunto de 150 apps pre-sentes al menos en 20 proveedores diferentes. Estalista contiene principalmente servicios centrales deAndroid, ası como aplicaciones firmadas por com-panıas independientes (p. Ej., Adups) y fabricantesde conjuntos de chips(p. Ej., Qualcomm).

Posteriormente, agrupamos todos los permisossolicitados por un nombre de paquete dado en

12

todos los modelos de dispositivos para cada marca.Como en el caso de los permisos personalizadosexpuestos, podemos ver una tendencia a privilegiaren exceso estos modulos en fabricantes especıfi-cos. Por ejemplo, el numero de permisos solicita-dos por el modulo principal android puede variarde 9 permisos en un dispositivo Android ofrecidopor Google — p. Ej. un Nexus 5 o un Pixel —a mas de 100 en la mayorıa de los dispositivosSamsung. Del mismo modo, mientras que el pa-quete com.android.contacts suele solicitar 35permisos (mediana) en nuestra base de datos, estenumero supera los 100 para dispositivos Samsung,Huawei, Advan y LG.Permisos personalizados. 2.910 aplicacionespreinstaladas solicitan al menos un permiso perso-nalizado. El mapa de calor en la Figura 2 muestrala cantidad de permisos personalizados solicitadospor paquetes preinstalados en un conjunto cuida-dosamente seleccionado de fabricantes popularesde Android (eje x). Como podemos ver, el usode permisos personalizados tambien varıa entrelos proveedores. Aquellos asociados con terceros,sobre todo agentes destacados de la industria y laeconomıa de los datos (p. Ej., Facebook), MNOs (p.Ej., Vodafone) y los servicios de AV / seguridad (p.Ej., Hiya) son los mas los solicitados.

Este analisis revela posibles acuerdos comer-ciales mas alla de los revelados en las seccio-nes anteriores. Identificamos el desarrollador gra-cias a la firma de los apps que acceden a lospermisos de ironSource, Hiya y AccuWeather. Es-te estado de cosas potencialmente permite queterceros puedan obtener acceso a permisos pro-tegidos solicitados por otros paquetes preinstala-dos firmados con la misma firma. Ademas, en-contramos paquetes firmados por Sprint que separecen a los APKs de Facebook y Messen-ger de Facebook (com.facebook.orca.vpl ycom.facebook.katana.vpl) y que ademas soli-citan permisos relacionados con Flurry (un serviciode seguimiento en lınea y analyticas propiedad deVerizon).

Las relaciones comerciales entre servicios deterceros y proveedores parecen ser bidirecciona-les como se muestra en la Figura 3. Esta figuramuestra evidencia de 87 aplicaciones que accedena los permisos de otros proveedores, incluidos lospaquetes firmados por Facebook, ironSource, Hiya,Digital Turbine, Amazon, Verizon, Spotify, variosnavegadores y MNOs. Estos estan agrupados por lafirma del desarrollador para fines de claridad. Como

indica el mapa de calor, Samsung, HTC y Sonyson los proveedores que habilitan la mayorıa de lospermisos personalizados solicitados por aplicacio-nes, posiblemente debido a su importante presenciaen el mercado Android. Encontramos instancias deaplicaciones disponibles en Play Store que tambiensolicitan dichos permisos. Desafortunadamente, es-tos permisos personalizados no se muestran a losusuarios cuando compran aplicaciones moviles enla tienda; por lo tanto, aparentemente se solicitansin consentimiento, lo que puede causar gravesdanos a la privacidad de los usuarios cuando lasaplicaciones las utilizan de forma incorrecta paraobtener acceso a datos y recursos de sistemasensibles.

IV-C. Uso de permisos por TPLs

Analizamos los permisos utilizados por las apli-caciones que incorporan al menos un TPL (li-brerıa de terceros). Estudiamos el acceso a per-misos con una proteccion nivel de signatureo signature|privileged, ya que solo puedenotorgarse a las aplicaciones del sistema [49] o alas firmadas con una firma del sistema. La pre-sencia de TPLs en aplicaciones preinstaladas quesolicitan acceso a una firma o permiso peligrosopor lo tanto, puede darle acceso a recursos muysensibles sin el conocimiento y consentimiento delusuario. La Figura 4 muestra la distribucion deluso de permisos personalizados por aplicacionesque incorporan TPL. Encontramos que los permisosmas utilizados - READ_LOGS — que permite quela aplicacion (y, por lo tanto, los TPL dentro deella) lean registros del sistema. No hay diferenciassignificativas entre los tres tipos de TPL de in-teres. Para completar, tambien encontramos que 94aplicaciones con TPLs de interes tambien solicitanpermisos personalizados. Curiosamente, el 53 %de los 88 permisos personalizados utilizados porestas aplicaciones son definidos y expuestos porSamsung.

IV-D. Exposicion de componentes

Los permisos personalizados no son el unicomecanismo disponible para que los desarrolladoresde aplicaciones expongan (o accedan) a compo-nentes de otras aplicaciones. Las aplicaciones deAndroid tambien pueden interactuar entre sı me-diante “Intents”, una abstraccion de comunicacionde alto nivel [41]. Una aplicacion puede exponer

13

0 50 100 150 200Permission usage

CAPTURE_VIDEO_OUTPUTCALL_PRIVILEGED

CAPTURE_AUDIO_OUTPUTACCOUNT_MANAGER

MOUNT_FORMAT_FILESYSTEMSCHANGE_COMPONENT_ENABLED_STATE

BIND_APPWIDGETSET_TIME

SET_TIME_ZONEACCESS_CHECKIN_PROPERTIES

MASTER_CLEARWRITE_APN_SETTINGS

STATUS_BARREBOOT

MODIFY_PHONE_STATEBROADCAST_SMS

BROADCAST_WAP_PUSHSEND_RESPOND_VIA_MESSAGE

UPDATE_DEVICE_STATSDELETE_PACKAGES

WRITE_SECURE_SETTINGSINSTALL_PACKAGES

MOUNT_UNMOUNT_FILESYSTEMSREAD_LOGS

Advertisement librariesAnalytics librariesSocial libraries

Figura 4: Permisos de sistema solicitaods por appspreinstaladas que incluyen librerıas de terceros(TPLs).

sus componentes a aplicaciones externas decla-rando android:exported=true en el manifiestosin proteger el componente con cualquier medi-da adicional, o agregando uno o mas filtros a sudeclaracion en el manifiesto; exponiendolo a untipo de ataque conocido en la literatura [78]. Sise usa el atributo exported, se puede protegeragregando un permiso al componente, ya sea unpermiso personalizado o uno declarado por AOSP,a traves de la verificacion de forma programatica delos permisos de la aplicacion de llamada.

Intentamos identificar practicas de desarrollo po-tencialmente peligrosas y pobres que pueden con-ducir a que los componentes sean expuestos sinningun tipo de proteccion adicional. Exta exporta-cion de componentes puede conducir a: i) aplicacio-nes daninas o maliciosas que inician una actividadexpuesta, enganando ası a los usuarios que creenque estan interactuando con el software benigno;ii) aplicaciones que pueden iniciar y vincularse aservicios desprotegidos; y iii) aplicaciones malicio-sas que obtienen acceso a datos confidenciales ola capacidad de modificar el estado interno de laaplicacion.

Encontramos 6.849 aplicaciones preinstaladasque potencialmente exponen al menos una ac-tividad en dispositivos de 166 proveedores yfirmadas por 261 firmas de desarrollador conexported=true. Para los servicios, 4,591 aplica-ciones (presentes en 157 proveedores) firmadaspor 183 desarrolladores, incluidos los fabricantes,potencialmente exponen uno o mas de sus ser-vicios a aplicaciones externas. Los 10 principales

fabricantes en nuestro dataset representan mas del70 % de las actividades y servicios potencialmenteexpuestos. Otros ejemplos relevantes incluyen unaaplicacion que parece exponer varias actividadesrelacionadas con las configuraciones del sistema(administracion de dispositivos, redes, etc.), lo quepodrıa permitir a un desarrollador externo accedero incluso alterar la configuracion del dispositivo. Elpaquete principal com.android.mms que ha sidopersonalizado en las versiones de Android desarro-lladas por varios fabricantes tambien exponen losservicios para leer mensajes WAP a otras aplicacio-nes. Tambien encontramos 8 diferentes instanciasde una aplicacion desarrollada por un tercero de lacadena de ensamblaje y que se encuentra en telefo-nos de dos grandes fabricantes de Android, cuyoproposito es proporcionar soporte tecnico remoto alos clientes. Este servicio en particular proporcionaadministracion remota del dispositivo al MNO, in-cluido el capacidad de grabar audio y video, buscararchivos, acceder a la configuracion del sistema ycargar / descargar archivos. El servicio clave parahacerlo es expuesto y puede ser abusado por otrasaplicaciones.

Dejamos el estudio detallado de las aplicacionesvulnerables a este ataque y el estudio del accesoa estos recursos por aplicaciones disponibles publi-camente en Google Play para trabajos futuros.

V. ANALISIS DEL COMPORTAMIENTO DE APPSPREINSTALADAS

En esta seccion analizamos la presencia de com-portamientos potencialmente daninos y no desea-dos. Para esto, aprovechamos herramientas dispo-nibles en la literatura de analisis estatico y dinamicode software Android y ası caracterizar el propositode dichas practicas en las apps preinstaladas quese han obtenido, incluyendo el acceso invasivo adatos sensibles y privados del usuario.

V-A. Analisis estatico

En esta seccion, seleccionamos todas las aplica-ciones preinstaladas para determinar la presenciade comportamientos potencialmente daninos. Estepaso nos permite obtener una vision general delos comportamientos en todo el conjunto de datosy tambien nos proporciona la base para calificaraplicaciones y marcar aquellas mas interesantesque requieran un analisis mas exhaustivo. Estepaso es crıtico ya que solo podrıamos permitirnos

14

inspeccionar manualmente un subconjunto limitadode todas las aplicaciones disponibles.Herramientas de Analisis Nuestro metodo de es-tudio integra varias herramientas de analisis estati-co especıfico para aplicaciones de Android, incluidoAndrowarn [11], FlowDroid [73], y Amandroid [91],ası como una serie de scripts personalizados basa-dos en Apktool [12] y Androguard [3]. En esta etapano utilizamos herramientas de analisis dinamico, loque nos impide identificar comportamientos ocultosque se basen en la carga dinamica de codigo (car-ga DEX) o “reflection”. Esto significa que nuestrosresultados presentan una estimacion a la baja detodos los posibles comportamientos potencialmentedaninos. Buscamos, no obstante, aplicaciones quecarguen codigo dinamicamente y usen tecnicas de“reflection” para identificar objetivos que merezcanuna inspeccion manual.Dataset. Debido a la escala de nuestro dataset— el cual consta de 82.501 archivos APK con6.496 nombres de paquetes unicos — seleccio-namos aleatoriamente un archivo APK para ca-da nombre de paquete y analizamos el conjuntoresultante de aplicaciones, obteniendo un informede analisis para 48 % de ellos. La mayorıa de lospaquetes restantes no se pudieron analizar debidoa la ausencia de un classes.dex para archivosindexados. Aunque en algunos casos tenıamos elarchivo .odex correspondiente, generalmente nopodıamos de-odexizarlos ya que se necesitaba elarchivo de marco de Android del dispositivo paracompletar este paso. Ademas, no pudimos analizarun pequeno subconjunto de aplicaciones debido alas limitaciones de nuestras herramientas, inclui-dos los errores generados durante el analisis, eltamano del archivo, o limitacions inherentes a lasherramientas de analisis que dejan de responderdespues de horas de procesamiento. Por tanto,centramos nuestro analisis en el subconjunto deaplicaciones para las cuales pudimos generar in-formes satisfactoriamente.Resultados. El estudio de los informes de analisisproporcionados por nuestras herramientas nos hapermitido identificar la presencia de 36 compor-tamientos potencialmente intrusivos de privacidad,o comportamientos potencialmente daninos. Estosson enumerados en la Tabla VI. Los resultadossugieren que una fraccion significativa de las apli-caciones analizadas podrıa acceder y diseminardatos sensibles del usuario y del dispositivo, inclu-yendo la ubicacion del usuario y la configuracionactual del dispositivo. De acuerdo a nuestro anali-

sis, estos resultados dan la impresion de que larecopilacion y difusion de datos personales (inde-pendientemente del proposito o consentimiento) nosolo es generalizado en la industria movil sino quetambien viene preinstalado. Otros comportamientosconcernientes a priori incluyen la posible disemina-cion de contactos y contenido de SMS (164 y 74aplicaciones, respectivamente), envıo de SMS (29aplicaciones) y los registros de llamadas telefonicas(339 aplicaciones). Aunque existen casos de usoperfectamente legıtimos para estos comportamien-tos, tambien prevalecen en casos nocivos y poten-cialmente no deseados. La distribucion del numerode comportamientos potencialmente daninos poraplicacion sigue una distribucion potencial. El 25 %de las aplicaciones analizadas presentan al menos5 de estos comportamientos, y casi el 1 % de lasaplicaciones muestran 20 o mas. La mayor partede la distribucion se relaciona con la recopilacionde identificadores de usuario, red y telefonıa, eincluso informacion obtenida del Package Managerde Android. Esto proporciona una idea de cuangeneralizadas son las huellas digitales de usuariosy dispositivos en la actualidad.

V-B. Analisis de trafico

Si bien el analisis estatico puede ser util paradeterminar un lımite inferior de lo que es capazde hacer una aplicacion, esta tecnica da una ima-gen incompleta del comportamiento real de unaaplicacion. Esto podrıa deberse a rutas de codigohuerfanas que nunca llegan a ejecutarse, inclui-dos los que se encuentran dentro de bibliotecasvinculadas estatica y dinamicamente que no seproporcionan con aplicaciones, e incluso compor-tamientos determinados por la logica del lado delservidor (p. Ej., debido a ofertas de anuncios entiempo real) o codigo que se carga en tiempo deejecucion utilizando las tecnicas de “reflection”. Estalimitacion de los enfoques estaticos generalmentese aborda complementando el analisis estatico conel uso de herramientas de analisis dinamico conlas que obtener evidencia real de comportamientos.Sin embargo, debido a varias limitaciones (incluidaslas dependencias con hardware y componentes desoftware especıficos al dispositivo) no es factibleen nuestro caso la ejecucion de todas las aplica-ciones preinstaladas en nuestro dataset de formadinamica. En cambio, decidimos usar el conjuntode datos de trafico movil de Lumen para encontrarevidencia de la difusion de datos personales de

15

Tipo / comportamientos de PII accedidos Apps (#) Apps ( %)

Identificadores detelefonıa

IMEI 687 21.8IMSI 379 12Numero de telefono 303 9.6MCC 552 17.5MNC 552 17.5Nombre del operador 315 10Numero de serie SIM 181 5.7Estado SIM 383 12.1Paıs actual 194 6.2Paıs SIM 196 6.2Numero de voicemail 29 0.9

Configuracion deldispositivo

Version del software 25 0.8Estado del telefono 265 8.4Apps instaladas 1,286 40.8Tipo de telefono 375 11.9Logs 2,568 81.4

Ubicacion

GPS 54 1.7Ubicacion de la celda 158 5CID 162 5.1LACA 137 4.3

Interfaces de red

Configuracion de Wi-Fi 9 0.3Red actual 1,373 43.5Plan de datos 699 22.2Estado de conexion 71 2.3Tipo de red 345 10.9

Informacion personal Contactos 164 11SMS 73 2.31

Uso abusivo deservicios de telefonıa

Envıo de SMS 29 0.92Intercepcion de SMS 0 0Desactivar SMS notif. 0 0Llamadas telefonicas 339 10.7

Interceptacion deaudio/video

Grabacion de audio 74 2.4Captura de video 21 0.7

Ejecucion de codigoarbitrario

Codigo nativo 775 24.6Comandos de Linux 563 17.9

Conexion remota Conexion remota 89 2.8

Cuadro VI: Numero de apps preinstaladas queacceden a datos sensibles o muestran comporta-mientos potencialmente peligrosos. El porcentajese refiere a la subconjunto de paquetes triaged(N = 3, 154).

las aplicaciones preinstaladas presentes en ambosdatasets.Resultados. De las 3.118 aplicaciones preinstala-das con permisos de acceso a Internet, 1.055 hansido observadas por Lumen en dispositivos reales atraves de tecnicas de crowdsourcing. En este punto,nuestro analisis de aplicaciones preinstaladas secentro en dos aspectos principales: descubrir elecosistema de las organizaciones que poseen losdominios a los que se conectan estas aplicaciones,y analizar los tipos de informacion privada quelos dispositivos de los usuarios diseminan a es-tas organizaciones. Para comprender el ecosistemade la recopilacion de datos mediante aplicacionespreinstaladas, estudiamos donde se recopilan losdatos de estas aplicaciones y donde hace su pri-mera parada. Usamos los nombres de dominios

completos (FQDN) de los servidores con los quecontactan las apps presintaladas y usamos tecnicasde minerıa de texto descritas en nuestro trabajoanterior [84] para determinar la organizacion matriztras estos dominios.Los grandes actores. La Tabla VII muestra lasorganizaciones principales que poseen los domi-nios mas populares contactados por aplicacionespreinstaladas presentes en el dataset de Lumen.De los 54,614 dominios contactados por estas apli-caciones, 7,629 pertenecen a servicios de publi-cidad y tracking en lınea, conocidos como servi-cios ATS [84]. Estos servicios estan representadospor organizaciones como Alphabet, Facebook, Ve-rizon (ahora propietaria de Yahoo!, AOL y Flurry),Twitter (organizacion matriz de MoPub), AppsFlyer,comScore y otros mas. Como se esperaba, Alp-habet, la entidad que posee y mantiene la plata-forma Android y algunos de los mayores serviciosde publicidad y seguimiento en lınea (ATS) [84],tambien posee la mayorıa de los dominios a losque se conectan las aplicaciones preinstaladas.Ademas, los vendedores que incorporan en susdispositivos los servicios basicos de Google pa-ra Android como la Google Play Store tiene quepasar por el programa de certificacion de Googleque, en parte, implica precargar los dichos servi-cios. Entre estos servicios se encuentra el paquetecom.google.backuptransport de Google, queenvıa una variedad de informacion sobre el usuarioy el dispositivo en el que se ejecuta a los servidoresde Google.

El analisis de trafico tambien confirma que losservicios de Facebook y Twitter vienen preinsta-lados en muchos telefonos y estan integrados envarias aplicaciones. Muchos dispositivos tambienpreinstalan aplicaciones meteorologicas como Ac-cuWeather y The Weather Channel. De acuerdoa los hallazgos de varios esfuerzos de investiga-cion previos, estos proveedores de contenido me-tereologico tambien recopilan informacion sobre losdispositivos y sus usuarios [86], [84].

V-C. Analisis manual: casos relevantes

Estudiamos la salida proporcionada por nuestrometodologıa de analisis estatico y dinamico paraclasificar aplicaciones y ası marcar un subconjuntoreducido de paquetes que inspeccionar manual-mente. Nuestro objetivo aquı era identificar conprecision el comportamiento potencialmente daninoy no deseado en aplicaciones preinstaladas. Se

16

Organizacion # de apps de dominios

Alphabet 566 17052Facebook 322 3325Amazon 201 991Verizon Communications 171 320Twitter 137 101Microsoft 136 408Adobe 116 302AppsFlyer 98 10comScore 86 8AccuWeather 86 15MoatInc. 79 20Appnexus 79 35Baidu 72 69Criteo 70 62PerfectPrivacy 68 28

Other ATS 221 362

Cuadro VII: Las 15 principales organizaciones ATSpor numero de aplicaciones que se conectan atodos sus dominios asociados.

agregaron otras aplicaciones a este conjunto enfuncion de los resultados de nuestra biblioteca deterceros y el analisis de permisos realizado enlas secciones III y IV, respectivamente. Analiza-mos manualmente 158 aplicaciones usando he-rramientas estandar que incluyen desensamblado-res DEX (baksmali), descompiladores DEX a java(jadx, dex2jar), herramientas de analisis de recursos(Apktool), herramientas de instrumentacion (Frida) ymetodos de ingenieria inversa (radare2 e IDA Pro)para el analisis de codigo nativo. Nuestros princi-pales hallazgos se pueden agrupar en tres grandescategorıas: 1) malware conocido; 2) software conposible acceso y difusion de datos personales; y3) aplicaciones potencialmente daninas. La TablaVIII proporciona algunos ejemplos para cada tipode comportamientos que encontramos.Malware conocido. Nos encontramos con variasinstancias aisladas de malware conocido en la par-ticion del sistema, principalmente en dispositivosde gama baja pero tambien en algunos telefonosde gama alta. Identificamos variantes de familiasconocidas de malware de Android que han sidoprevalentes en los ultimos anos, incluyendo Triada,Rootnik, SnowFox, Xinyin, Ztorg, Iop y softwaredudoso desarrollado por GMobi. Utilizamos Virus-Total para etiquetar estas muestras. Segun los in-formes AV existentes, el rango de comportamientosque tales muestras abarca el fraude bancario, elenvıo de SMS a numeros premium o la suscripciona servicios de pago, la instalacion silenciosa deaplicaciones, o fraude publicitario, entre otros. Sibien nuestro metodo no nos permite distinguir si

potencialmente las aplicaciones maliciosas estanpreinstaladas o aprovecharon las vulnerabilidadesdel sistema para instalarse en la particion del sis-tema, es importante destacar que la presencia demalware preinstalado en dispositivos Android hasido reportada previamente por varias fuentes[65],[5], [66]. Algunas de las muestras encontradas uti-lizan servidores de Comando y Control (C2) quetodavıa estan en funcionamiento en el momento deescribir este documento.Acceso y difusion de datos personales. Casitodas las aplicaciones que identificamos como ca-paces de acceder a PII, parecen difundirlo a servi-dores de terceros. Tambien observamos instanciasde aplicaciones con capacidad para obtener huellas(fingrepritns) de los dispositivos a traves del hard-ware y redes, a menudo recopiladas bajo el termino“capacidad del dispositivo”, e incluso servicios deanalisis que rastrean la instalacion y eliminacion deaplicaciones (en particular, aplicaciones de noticias,como las realizadas por CNBC, Bloomberg, Tech-Crunch y The Economist, entre otras). Los com-portamientos mas intrusivos abarcan aplicacionescapaces de recopilar y enviar correos electronicosy metadatos de registros de llamadas telefonicas. Elcaso mas extremo que nosotros hemos analizadoes un servicio de recopilacion de datos contenido enun servicio FOTA asociado con Redstone SunshineTechnology Co., Ltd. [60], un proveedor de OTA queadmite tener acceso a “550 millones de usuarios detelefonos y socios de IoT en 40 paıses” [21]. Estaaplicacion incluye un servicio que puede recopilar ydifundir docenas de elementos de datos, incluidosidentificadores de usuario y dispositivo, informacionde comportamiento (recuentos de SMS y llamadasenviadas y recibidas, y estadısticas sobre flujosde red) y estadısticas de uso e informacion derendimiento por paquete instalado. En general, estesoftware parece implementar un programa de anali-sis que admite varias estrategias de monetizacion,desde la orientacion optimizada de anuncios has-ta proporcionar datos de rendimiento tanto a losdesarrolladores como a los fabricantes. Hacemoshincapie en que estos datos recopilados no solo sonnotablemente extensos y multidimensionales, sinoque tambien estan muy lejos de ser anonimos yaque son vinculado con IDs de usuario y dispositivo.Aplicaciones potencialmente peligrosas. Encon-tramos 612 aplicaciones preinstaladas que poten-cialmente implementan funciones avanzadas de in-genierıa de acuerdo con sus paquetes y nombresde aplicaciones. Dichas funciones incluyen tareas

17

Familia Comportamiento potencial y prevalencia

Malware conocido

Triada Disemina PII y otros datos confidenciales (SMS, registros de llamadas, datos de contacto, imagenes y videosalmacenados). Descargas etapas adicionales. Rootea el dispositivo para instalar aplicaciones adicionales.

Rootnik [61] Obtiene acceso root al dispositivo. Disemina PII e instala aplicaciones adicionales. Utiliza tecnicas anti-analisis yanti-depuracion.

GMobi [10], [66] Servicio de Comercio Gmobi. Diseminacion de PII, incluido el numero de serie del dispositivo y la direccion MAC,la geolocalizacion, los paquetes instalados y los correos electronicos. Recibe comandos de servidores remotospara (1) enviar un SMS a un numero dado; (2) descargar e instalar aplicaciones; (3) visite un enlace; o (4) muestrauna ventana emergente. Esoha sido identificado en dispositivos de gama baja.

Aplicaciones potencialmente peligrosas

Aplicacion de rooteo Expone un receptor desprotegido que arranca el dispositivo al recibir un codigo secreto de telefonıa (medianteintento o marcando *#*#9527#*#*).

Bloqueador Si el dispositivo no contiene un archivo firmado en una ubicacion en particular, carga y aplica 2 listas negras: unaque contiene 103 paquetes asociados con aplicaciones de evaluacion comparativa, y otra con 56 dominios webrelacionados con tecnologıas telefonicas.

Posible acceso y difusion de datos personales

TrueCaller Envıa PII a sus propios servidores y tambien a ATSes de terceros integrados en la app, como AppsFlyer, MoPub,propiedad de Twitter, Crashlytics, inMobi, Facebook,y otros. Carga datos de llamadas telefonicas a al menos unode sus propios dominios.

MetroName ID Difunde PII a sus propios servidores y tambien a servicios de terceros embedidos como Piano, un servicio parala medicion de audiencia de medios y de analisis de rastreo de la instalacion de aplicaciones de noticias y otrossocios, incluidos CNBC, Bloomberg, TechCrunch y The Economist, entre otros, la presencia de los cuales informaa sus propios dominios.

Adups [46] Aplicacion FOTA. Recopila y comparte PII privado y privado con sus propios servidores y los de dominios ATSde terceros integrados, incluido Advmob y Nexage. Encontrado en todo el mundo en 55 marcas diferentes.

Stats/Meteor Servicio FOTA de Redstone. Utiliza la carga de codigo dinamico y tecnicas de “reflection” para implementarcomponentes ubicados en 2 archivos DEX cifrados. Disemina mas de 50 tipos de datos que caracterizancompletamente el hardware, el servicio de telefonıa, la red, la geolocalizacion y los paquetes instalados. Realizaperfiles de comportamiento y rendimiento, incluidos recuentos de SMS / MMS, registros de llamadas, bytesenviados y transmitidos, y estadısticas de uso y rendimiento contadores por paquete. Instala silenciosamentepaquetes en el dispositivo e informa que paquetes son instalados / eliminados por el usuario.

Cuadro VIII: Ejemplos de casos relevantes y sus posibles comportamientos encontrados despues delanalisis manual sobre un subconjunto de aplicaciones de interes. Cuando se referencia a la difusion dedatos personales, el termino PII abarca los elementos enumerados en la Tabla VI.

relativamente inofensivas, como pruebas de hard-ware, pero tambien funciones potencialmente pe-ligrosas como la capacidad de rootear el disposi-tivo. Encontramos instancias de tales aplicacionesen las que la funcion de rooting no estaba pro-tegida en su manifiesto (es decir, el componenteestaba disponible para que lo utilizara cualquierotra aplicacion). Tambien identificamos aplicacionesde modo de ingenierıa vulnerable bien conocidascomo MTKLogger [81]. Dichas aplicaciones expo-nen componentes desprotegidos que pueden sermal utilizado por otras aplicaciones ubicadas en eldispositivo. Otros ejemplos incluyen un servicio defabricante bien conocido, que bajo ciertas condicio-nes ponen en una lista negra las conexiones a unalista predefinida de 56 dominios web (revision dedispositivos moviles y evaluacion comparativa sitiosweb, principalmente) y desactiva cualquier paqueteinstalado que coincida con una de una lista de 103aplicaciones de evaluacion comparativa.

VI. LIMITACIONES DEL ESTUDIO

Completud y cobertura. Nuestro conjunto de da-tos no es completo en terminos de proveedoresy modelos de Android, a pesar de que cubrimosaquellos con una mayor penetracion de mercado,tanto de gamas altas y bajas. Nuestro proceso derecopilacion de datos tambien se realiza con elmejor esfuerzo. La falta de conocimientos previossobre la problematica de apps preinstaladas y lafalta de documentacion requerıa realizar un estudiodetallado caso por caso y un cantidad significativade inspeccion manual. En terminos de aplicacionesanalizadas, determinar la cobertura de nuestro es-tudio es difıcil ya que no sabemos el numero totalde aplicaciones preinstaladas en todos los telefonosanalizados.Atribucion. Actualmente, no hay una manera fiablede identificar con precision el desarrollador legıtimode una aplicacion preinstalada dado que estas sonautofirmadas. Hemos encontrado instancias de cer-

18

tificados con solo un codigo de paıs en el campoemisor, y otros con cadenas que sugieren quelos principales proveedores (por ejemplo, Google)firmaron la aplicacion, donde las aplicaciones cier-tamente no fueron firmadas por ellos. Lo mismose aplica a los nombres de paquetes y permisos,muchos de los cuales son opacos y su nomenclatu-ra no sigue las recomendaciones de nomenclaturaindicadas por Google. Del mismo modo, la falta dedocumentacion sobre la definicion y proposito delos permisos personalizados nos impidio automati-zar nuestro analisis. Un estudio mas profundo deeste problema requerirıa verificar si esos permisosse otorgan en tiempo de ejecucion, rastreando elcodigo para identificar completamente sus propositoy averiguar si otras aplicaciones los utilizan.Package Manager. No obtenemos muestras delarchivo packages.xml de los dispositivos de nues-tros usuarios ya que puede contener informacionsensible sobre todos paquetes instalados, y no solopreinstalados. Consideramos que recopilar este ar-chivo serıa invasivo. Esto, sin embargo, limita nues-tra capacidad de ver si las aplicaciones instaladaspor el usuario estan utilizando servicios expuestospor aplicaciones preinstaladas a traves de “intents”o permisos personalizados. Tratamos de compen-sar esta falta con una busqueda de aplicacionespublicas que usan permisos personalizados preins-talados, como se discute en Seccion IV-D.Cobertura de comportamiento. Nuestro estudiose centra en el analisis estatico de las muestrasrecolectadas a traves de Firmware Scanner, y solose aplico el analisis dinamico a un subconjuntoseleccionado de 1.055 paquetes. Esto nos impi-de analizar comportamientos sospechosos como lacarga dinamica de codigo en tiempo de ejecucion,o el uso de tecnicas de “reflection”. A pesar deesto, nuestra lınea de analisis sirvio para identificaruna cantidad considerable de comportamientos po-tencialmente daninos en software preinstalado. Unestudio mas profundo y amplio posiblemente podrıarevelarıa mas casos.Identificacion de dispositivos rooteados. No hayuna forma segura de saber programaticamente siun dispositivo esta rooteado o no. Mientras nuestroconservador limita el numero de falsos negativos,hemos encontrado casos de dispositivos con ROMalternativas conocidas que fueron no marcadoscomo rooteados por RootBeer. Ademas, hemosencontrado algunas aplicaciones que permiten aun tercero rootear el dispositivo sobre la marchapara, por ejemplo, instalar nuevas aplicaciones en

la particion del sistema como se discutio en laSeccion VC. Algunas de estas aplicaciones puedenpotencialmente “desrootear” el telefono para evitarla deteccion. Ante la presencia de una aplicacion deeste tipo en un dispositivo, no podemos saber concerteza si un paquete determinado — particular-mente una aplicacion potencialmente maliciosa —fue instalada previamente por un actor en la cadenade suministro o si se instalo despues.

VII. TRABAJOS RELACIONADOS

Personalizacion de imagenes de Android. Algu-nos trabajos previos han estudiado las modifica-ciones realizadas en las imagenes AOSP, ya seaagregando certificados raız [88], personalizando lasaplicaciones predeterminadas [72] o el sistema ope-rativo [94]. Aafer [71] introdujo una nueva clase devulnerabilidad causada por el proceso de persona-lizacion del firmware. Si se elimina una aplicacionpero queda una referencia a ella en el sistema ope-rativo, una aplicacion maliciosa podrıa suplantarla,lo que podrıa generar problemas de privacidad yseguridad. Si bien estos estudios se han centradoen las imagenes de Android en su conjunto, en lugarde las aplicaciones preinstaladas, todas muestran lacomplejidad del ecosistema de Android y subrayanla falta de control sobre la cadena de suministro.Permisos de Android. Estudios anteriores sobrepermisos de Android han usado principalmente lastecnicas de analisis estatico para inferir el papelde un permiso dado [74], [77]. Estos estudios, sinembargo, no cubren las versiones mas recientes deAndroid [93] ni permisos proprietarios o personali-zados. En [80], Jiang demostro como se usan lospermisos personalizados para exponer y protegerlos servicios. Nuestro trabajo complementa esteestudio al mostrar como los fabricantes de dispo-sitivos y terceros declaran y usan permisos perso-nalizados, dando el primer paso hacia un analisiscompleto y en profundidad de todo el panorama delos permisos personalizados.Vulnerabilidades en aplicaciones preinstaladas.Un artıculo reciente de Wu et al. [92] tambienutilizo mecanismos de crowdsourcing para detectaraplicaciones que escuchan un determinado puertoTCP o UDP y analizan las vulnerabilidades causa-das por esta practica. Mientras su estudio no selimita a las aplicaciones instaladas por el usuario,muestran evidencia de aplicaciones preinstaladasque exhiben este comportamiento

19

VIII. DISCUSION AND CONCLUSIONES

Este artıculo estudio, a escala, el vasto e inex-plorado ecosistema de software preinstalado endispositivos Android y su impacto potencial en laprivacidad y derechos de los consumidores. Esteestudio ha dejado en claro que, gracias en granparte a la naturaleza de codigo abierto de la pla-taforma Android y la complejidad de su cadena desuministro, organizaciones de diversos tipos y ta-manos tienen la capacidad de introducir su softwareen el firmware de Android. Como demostramos eneste estudio, esta situacion se ha convertido enun peligro para la privacidad de los usuarios eincluso seguridad debido a un abuso de privilegios ocomo resultado de malas practicas de ingenierıa desoftware que introducen vulnerabilidades y puertastraseras peligrosas.La cadena de suministros. La gran cantidad deactores involucrados en el desarrollo de softwarepreinstalado y la gama de la cadena de suministrodesde fabricantes de hardware hasta MNOs y ser-vicios de publicidad y tracking. Estos actores tienenacceso privilegiado a los recursos del sistema atraves de su presencia en aplicaciones preinsta-ladas, pero tambien como bibliotecas de tercerosincrustadas en ellas. Potenciales asociaciones yacuerdos comerciales, realizados a puerta cerradaentre las partes interesadas, han convertido los da-tos de los usuarios en una mercancıa antes que losusuarios comprar sus dispositivos o decidir instalarsu propio software.Atribucion. Desafortunadamente, debido a la faltade una autoridad certificadora central o de un sis-tema de confianza para permitir la verificacion y laatribucion de certificados firmados que se utilizanpara firmar aplicaciones preinstaladas, y debido ala falta de cualquier mecanismo para identificar elproposito y la legitimidad de muchas de estas apli-caciones y permisos personalizados, es difıcil atri-buir comportamientos no deseados y perjudiciales ala parte o partes responsables Esto tiene implicacio-nes negativas mas amplias para la responsabilidadde los agentes que forman este ecosistema y lacadena de suministros en su conjunto.El papel de los usuarios y el consentimientoinformado. Mientras tanto, los usuarios de dispo-sitivos Android no son, en general, conscientes dela presencia de la mayorıa del software que vienepreinstalado en sus dispositivos ni de los riesgosque estas suponen a su privacidad. Los usuariosno tienen idea de las diversas relaciones y asocia-

ciones que existen entre agentes para el intercam-bio de datos personales, ni tienen capacidad paradecidir que viene preinstalado en sus telefonos. Lasactividades, los datos personales y los habitos delos usuarios pueden ser trackeados constantementepor partes interesadas y agentes de los que muchosde ellos nunca han oıdo hablar, y mucho menoshan consentido en recopilar sus datos. Hemos de-mostrado instancias de dispositivos con softwaredesarrollado por companıas con la capacidad derootear y controlar dispositivos de forma remota sinel conocimiento del usuario, y con la capacidadde instalar aplicaciones a traves de campanas demonetizacion y adquisicion de usuarios. Incluso silos usuarios decidiesen detener o eliminar algunasde estas aplicaciones, no podra hacerlo, ya quemuchos de ellos son servicios basicos de Android yotros no pueden ser eliminados permanentementepor el usuarios sin privilegios de root. Tampoco estaclaro si los usuarios realmente han dado su consen-timiento a estas practicas, o si fueron informadossobre ellas antes de usar los dispositivos (es decir,en el primer arranque) en primer lugar. Para aclararesta incognita, adquirimos 6 dispositivos Androidpopulares completamente nuevos de proveedorescomo Nokia, Sony, LG y Huawei a traves de un granminorista espanol. Al arrancarlos, 3 dispositivosno presentan una polıtica de privacidad, solo losterminos de servicio de Android. El resto presentouna polıtica de privacidad que solo menciona querecopilan datos sobre el usuario, incluidos datossensibles como el IMEI para ofrecer servicios devalor agregado. Tenga en cuenta que los usuariosno tienen otra opcion salvo aceptar los terminos deservicio de Android, ası como los del fabricante.De lo contrario, Android simplemente dejara dearrancar haciendo que el dispositivo sea inutilizable.Reglamento de Proteccion al Consumidor. Mien-tras que algunas jurisdicciones tienen regulacionesmuy laxas que rigen el seguimiento y los datos enlınea recopilacion, ha habido una serie de movi-mientos para regular y controlar estas practicas deforma mas estricta, como el GDPR en la UE [28],yCCPA de California [20] en los Estados Unidos. Sibien estos esfuerzos son ciertamente utiles pararegular la invasion desenfrenada en la privacidad delos usuarios, estas aun tienen un largo camino porrecorrer. La mayorıa de los dispositivos moviles auncarecen de un mecanismo claro y significativo paraobtener el consentimiento informado, lo cual es unaposible violacion del GDPR. De hecho, es posibleque muchos de los ATS embedidos en el software

20

preinstalado en dispositivos Android puede no sercompatible con COPPA [87] - una regla federal deEE. UU. para proteger a los menores de ilegalseguimiento en lınea [22] -, a pesar del hecho deque muchos menores en los Estados Unidos usandispositivos moviles. Esto indica que incluso en ju-risdicciones con leyes y regulaciones estrictas parapreservar la privacidad y proteccion del consumidor,todavıa queda una gran brecha entre lo que se haceen la practica y las capacidades de aplicacion de lasagencias designadas para hacer cumplir la ley.Recomendaciones Para limitar el impacto de losproblemas mencionados anteriormente y hacer queel ecosistema sea mas transparente, proponemosuna serie de recomendaciones que se realizan bajoel supuesto de que los interesados estan dispuestosa autorregularse y mejorar el status quo. Somosconscientes de que algunas de estas sugerenciaspueden inevitablemente no alinearse con los in-tereses corporativos de todas las organizacionesen la cadena de suministro, y que puede ser ne-cesario la presencia de terceros para auditar ycertificar el proceso independientemente. Googlepodrıa ser un candidato principal para ello dada sucapacidad para otorgar licencias a los vendedoresy sus programas de certificacion. Alternativamente,en ausencia de auto-regulacion, los gobiernos y losorganismos reguladores podrıan intervenir y pro-mulgar regulaciones y ejecutar acciones que res-tituyan parte del control de los diversos actores enla cadena de suministro. Tambien proponemos unaserie de acciones que ayudarıan a los investigado-res independientes para detectar comportamientosenganosos y potencialmente daninos por parte delsoftware preinstalado.• Atribucion y responsabilidad para combatir ladificultad en la atribucion y la consiguiente faltade responsabilidad, proponemos la introduccion yuso de certificados firmados por autoridades decertificacion de confianza global. Alternativamente,puede ser posible para construir un repositorio detransparencia de certificados dedicado a propor-cionar detalles y atribucion de certificados autofirmados utilizados para firmar varias aplicacionesde Android, incluidas las preinstaladas.• Documentacion accesible y formularios de con-sentimiento similar a la forma en que los compo-nentes de codigo abierto de Android requieren cual-quier version modificada del codigo que se pondraa disposicion del publico, se puede requerir quelos dispositivos Android documenten el conjuntoespecıfico de aplicaciones que se han preinstalado,

junto con su proposito y la entidad responsablede cada pieza de software, de manera que seaaccesible y comprensible para los usuarios finales.Esto asegurara que exista al menos un punto dereferencia para que los usuarios (y los reguladores)puedan encuentrar informacion precisa sobre lasaplicaciones preinstaladas y sus practicas o fines.Ademas, los resultados de nuestro analisis de lapresencia de formularios de consentimiento a pe-quena escala en algunos fabricantes de Androiddeja mucho que desear desde una perspectiva detransparencia: los usuarios no estan suficientemen-te informados sobre el software de terceros queesta preinstalado en sus dispositivos, incluidos losservicios integrados de tracking y publicidad enlınea de terceros, el tipos de datos que recopilande ellos de forma predeterminada, y las asocia-ciones que permiten compartir datos personales atraves de Internet. Esto requiere una nueva formade polıtica de privacidad adecuada al contexto delas aplicaciones preinstaladas (y se apliquen) paragarantizar que las practicas se comunican al menosal usuario de manera clara y accesible. Esto deberıair acompanado de mecanismos para permitir a losusuarios tomar decisiones informadas sobre como,o si usar, dichos dispositivos sin tener que rootear-los.

Observaciones finales. A pesar de que este estu-dio ha requerido mas de un ano de esfuerzos, solopudimos aranar la superficie de un problema muchomayor. Este trabajo es, por lo tanto, exploratorio,y esperamos que atraiga mas atencion sobre elecosistema de la cadena de suministro de Androidy su impacto en privacidad y seguridad de losusuarios. Hemos discutido nuestros resultados conGoogle, que nos dio comentarios utiles. Nuestrotrabajo tambien fue la base de un informe elaboradopor la Agencia Espanola de Proteccion de Datos(AEPD) [3]. Tambien mejoraremos las capacidadesy caracterısticas de Firmware Scanner y Lumenpara abordar algunas de las limitaciones antesmencionadas y desarrollar metodos para realizaranalisis dinamico de software preinstalado. Dada laescala del ecosistema y la necesidad de inspeccio-nes manuales, nosotros gradualmente haremos quenuestro conjunto de datos (que sigue creciendo enel momento de escribir este artıculo) este disponiblepara la comunidad de investigacion y reguladorespara ayudar en futuras investigaciones y alentarmas investigacion en esta area.

21

AGRADECIMIENTOS

Estamos profundamente agradecidos a nuestrosusuarios de Firmware Scanner por permitir esteestudio, y ElevenPaths por su apoyo inicial en esteproyecto. Agradecemos a los revisores anonimospor sus utiles comentarios. Este proyecto ha sidoparcialmente financiado por el US National ScienceFoundation (subvencion CNS-1564329), el progra-ma de accion de innovacion Horizonte 2020 de laUnion Europea (acuerdo de subvencion no. 786741,Proyecto SMOOTH), Ministerio de Ciencia, Innova-cion y Universidades de Espana (otorga DiscoEdgeTIN2017-88749-R y SMOG-DEV TIN2016-79095-C2-2-R), y la Comunidad de Madrid (subvencionEdgeData-CM P2018 / TCS-4499). Las opiniones,hallazgos, conclusiones o recomendaciones expre-sadas en este documento son de los autores yno reflejan las opiniones de los organismos definanciacion.

REFERENCIAS

[1] AdGuard - Meizu Incompatibilities. https://github.com/AdguardTeam/AdguardForAndroid/issues/800. [Online;accessed 31-March-2019].

[2] Amazon suspends sales of Blu phones for includingpreloaded spyware, again. https://www.theverge.com/2017/7/31/16072786/amazon-blu-suspended-android-spyware-user-data-theft. [Online; accessed 31-March-2019].

[3] Androguard. https://github.com/androguard/androguard/.[Online; accessed 31-March-2019].

[4] Android — Certified. https://www.android.com/certified/.[Online; accessed 31-March-2019].

[5] Android Adware and Ransomware Found Preinstalled onHigh-End Smartphones. https://www.bleepingcomputer.com/news/security/android-adware-and-ransomware-found-preinstalled-on-high-end-smartphones/. [Online;accessed 31-March-2019].

[6] Android Certified Partners. https://www.android.com/certified/partners/. [Online; accessed 31-March-2019].

[7] Android Compatibility Program Overview. https://source.android.com/compatibility/overview. [Online; accessed 31-March-2019].

[8] Android Developer Documentation. https://developer.android.com/. [Online; accessed 31-March-2019].

[9] Android Trackers. https://fiksu.com/resources/androidtrackers/. [Online; accessed 31-March-2019].

[10] Android.Gmobi.1. https://vms.drweb.com/virus/? is=1&i=7999623&lng=en. [Online; accessed 31-March-2019].

[11] Androwarn–Yet another static code analyzer for mali-cious Android applications. https://github.com/maaaaz/androwarn. [Online; accessed 31-March-2019].

[12] Apktool–A tool for reverse engineering Android apk files.https://ibotpeaches.github.io/Apktool/. [Online; accessed31-March-2019].

[13] App Traps: How Cheap Smartphones Siphon User Data inDevelopingmCountries. https://www.wsj.com/articles/app-traps-how-cheap-smartphones-help-themselves-to-user-data-1530788404. [Online; accessed 31-March-2019].

[14] Application signing. https://developer.android.com/studio/publish/app-signing. [Online; accessed 31-March-2019].

[15] Appsee — Features. https://www.appsee.com/features.[Online; accessed 31-March-2019].

[16] Appsee Mobile App Analytics. https://www.appsee.com/.[Online; accessed 31-March-2019].

[17] Asurion. https://www.asurion.com/. [Online; accessed 31-March-2019].

[18] Baidu Geocoding API. http://api.map.baidu.com/lbsapi/geocoding-api.htm. [Online; accessed 31-March-2019].

[19] Baidu SDK. https://developer.baidu.com/. [Online; acces-sed 31-March-2019].

[20] California Consumer Privacy Act. https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill id=201720180AB375. [Online; accessed 31-March-2019].

[21] China Mobile Network Partner Redstone Moves in-to Robotics. https://www.prweb.com/releases/2017/04/prweb14212503.htm. [Online; accessed 31-March-2019].

[22] COPPA - Children’s Online Privacy Protection Act. http://coppa.org/. [Online; accessed 31-March-2019].

[23] CVE-2017-2709. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-2709. [Online; accessed 31-March-2019].

[24] CVE-2017-2709. https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-0864. [Online; accessed 31-March-2019].

[25] Define a Custom Permission. https://developer.android.com/guide/topics/permissions/defining. [Online; accessed31-March-2019].

[26] Digital Turbine - Privacy Policy. https://www.digitalturbine.com/privacy-policy/. [Online; accessed 31-March-2019].

[27] Estimote — indoor location with bluetooth beacons andmesh. https://estimote.com/. [Online; accessed 31-March-2019].

[28] EU General Data Protection Regulation (GDPR). https://eugdpr.org/. [Online; accessed 31-March-2019].

[29] Europe should be wary of Huawei, EU tech offi-cial says. https://www.reuters.com/article/us-eu-china-huawei-idUSKBN1O611X. [Online; accessed 31-March-2019].

[30] EXUS. https://www.exus.co.uk. [Online; accessed 31-March-2019].

[31] Facebook Gave Device Makers Deep Access to Data onUsers and Friends. https://www.nytimes.com/interactive/2018/06/03/technology/facebook-device-partners-users-friends-data.html. [Online; accessed 31-March-2019].

[32] Facebook’s Data Deals Are Under Criminal Investi-gation. https://www.nytimes.com/2019/03/13/technology/facebook-data-deals-investigation.html. [Online; accessed31-March-2019].

[33] Firmware Scanner. https://play.google.com/store/apps/details?id=org.imdea.networks.iag.preinstalleduploader.[Online; accessed 31-March-2019].

[34] Global market share held by leading smartphone vendors.https://www.statista.com/statistics/271496/global-market-share-held-by-smartphone-vendors-since-4th-quarter-2009/. [Online; accessed 31-March-2019].

[35] GMobi — General Mobile Corporation. http://www.generalmobi.com/en/. [Online; accessed 31-March-2019].

[36] Google Cloud Messaging. https://developers.google.com/cloud-messaging/android/android-migrate-fcm. [Online;accessed 31-March-2019].

[37] Hiya. https://hiya.com/. [Online; accessed 31-March-2019].

[38] Hiya Partners. https://hiya.com/hiya-data-policy. [Online;accessed 31-March-2019].

22

[39] How does Truecaller get its data? https://support.truecaller.com/hc/en-us/articles/212638485-How-does-Truecaller-get-its-data. [Online; accessed 31-March-2019].

[40] Infinum Inc. https://infinum.co. [Online; accessed 31-March-2019].

[41] Intents and Intent Filters - Android Developers. https://developer.android.com/guide/components/intents-filters.[Online; accessed 31-March-2019].

[42] IronSource — App monetization done right. https://www.ironsrc.com/. [Online; accessed 31-March-2019].

[43] IronSource - AURA. https://company.ironsrc.com/enterprise-solutions/. [Online; accessed 31-March-2019].

[44] IronSource - Aura for Advertisers. https://www.slideshare.net/ironSource/aura-for-advertisers. [Online; accessed 31-March-2019].

[45] Kryptowire Discovers Mobile Phone Firmware that Trans-mitted Personally Identifiable Information (PII) withoutUser Consent or Disclosure. https://www.kryptowire.com/adups security analysis.html. [Online; accessed 31-March-2019].

[46] Kryptowire Provides Technical Details on Black Hat 2017Presentation: Observed ADUPS Data Collection & Da-ta Transmission. https://www.kryptowire.com/observedadups data collection behavior.html. [Online; accessed31-March-2019].

[47] locationlabs by Avast. https://www.locationlabs.com/. [On-line; accessed 31-March-2019].

[48] Lumen Privacy Monitor. https://play.google.com/store/apps/details?id=edu.berkeley.icsi.haystack. [Online; ac-cessed 31-March-2019].

[49] Manifest permissions. https://developer.android.com/reference/android/Manifest.permission. [Online; accessed31-March-2019].

[50] Monetize, advertise and analyze Android apps. https://www.appbrain.com. [Online; accessed 31-March-2019].

[51] OnePlus Device Root Exploit: Backdoor in EngineerModeApp for Diagnostics Mode. https://www.nowsecure.com/blog/2017/11/14/oneplus-device-root-exploit-backdoor-engineermode-app-diagnostics-mode/. [Online; accessed31-March-2019].

[52] OnePlus left a backdoor in its devices capable of root ac-cess. http://www.androidpolice.com/2017/11/15/oneplus-left-backdoor-devices-capable-root-access/. [Online; ac-cessed 31-March-2019].

[53] OnePlus OxygenOS built-in analytics. https://www.chrisdcmoore.co.uk/post/oneplus-analytics/. [Online; ac-cessed 31-March-2019].

[54] OnePlus Secret Backdoor. https://www.theregister.co.uk/2017/11/14/oneplus backdoor/. [Online; accessed 31-March-2019].

[55] Permissions overview. https://developer.android.com/guide/topics/permissions/overview.html. [Online; accessed31-March-2019].

[56] Phone Number Search — TrueCaller. https://www.truecaller.com/. [Online; accessed 31-March-2019].

[57] Privacy Grade. http://privacygrade.org. [Online; accessed31-March-2019].

[58] PrivacyStar. https://privacystar.com. [Online; accessed 31-March-2019].

[59] PrivacyStar Privacy Policy. https://privacystar.com/privacy-policy/. [Online; accessed 31-March-2019].

[60] Redstone. http://www.redstone.net.cn/. [Online; accessed31-March-2019].

[61] Rootnik Android Trojan Abuses Commercial RootingTool and Steals Private Information. https://unit42.paloaltonetworks.com/rootnik-android-trojan-abuses-commercial-rooting-tool-and-steals-private-information/.[Online; accessed 31-March-2019].

[62] Simple to use root checking Android library. https://github.com/scottyab/rootbeer. [Online; accessed 31-March-2019].

[63] Smaato Blog. https://blog.smaato.com/everything-you-need-to-know-about-location-based-mobile-advertising.[Online; accessed 31-March-2019].

[64] Synchronoss Technologies - Privacy Policy. https://synchronoss.com/privacy-policy/#datacollected. [Online;accessed 31-March-2019].

[65] Triada Trojan Found in Firmware of Low-Cost AndroidSmartphones. https://www.bleepingcomputer.com/news/security/android-adware-and-ransomware-found-preinstalled-on-high-end-smartphones/. [Online;accessed 31-March-2019].

[66] Upstream - Low-end Android smartphones sold withpre-installed malicious software in emerging markets.https://www.upstreamsystems.com/pre-installed-malware-android-smartphones/. [Online; accessed 31-March-2019].

[67] VPN Service. https://developer.android.com/reference/android/net/VpnService. [Online; accessed 31-March-2019].

[68] What is “com,facebook,app manager” and why is ittrying to download Instagram, Facebook, and Messenger.https://forums.androidcentral.com/android-apps/547447-what-com-facebook-app-manager-why-trying-download-instagram-facebook-messenge.html. [Online; accessed31-March-2019].

[69] XDA-Developers Forum (Galaxy Note 4).com.facebook.appmanager. https://forum.xda-developers.com/note-4/themes-apps/com-facebook-appmanager-t2919151. [Online; accessed 31-March-2019].

[70] Your Data Is Our Data: A Truecaller Breakdown.https://techcabal.com/2018/05/02/your-data-is-our-data-a-truecaller-breakdown/. [Online; accessed 31-March-2019].

[71] AAFER, Y., ZHANG, N., ZHANG, Z., ZHANG, X., CHEN,K., WANG, X., ZHOU, X., DU, W., AND GRACE, M. HareHunting In The Wild Android: A Study On The Threat OfHanging Attribute References. In Proceedings of the ACMConference on Computer and Communication Security(CCS) (2015).

[72] AAFER, Y., ZHANG, X., AND DU, W. Harvesting Incon-sistent Security Configurations In Custom Android ROMsVia Differential Analysis. In Proceedings of the USENIXSecurity Symposium (2016).

[73] ARZT, S., RASTHOFER, S., FRITZ, C., BODDEN, E., BAR-TEL, A., KLEIN, J., LE TRAON, Y., OCTEAU, D., AND MC-DANIEL, P. Flowdroid: Precise context, flow, field, object-sensitive and lifecycle-aware taint analysis for androidapps. Proceedings of the ACM Special Interest Group onProgramming Languages (SIGPLAN) (2014).

[74] AU, K. W. Y., ZHOU, Y. F., HUANG, Z., AND LIE, D.PScout: Analyzing The Android Permission Specification.In Proceedings of the ACM Conference on Computer andCommunication Security (CCS) (2012).

[75] DITTRICH, D., AND KENNEALLY, E. The Menlo Report:Ethical principles guiding information and communicationtechnology research. US Department of Homeland Secu-rity (2012).

23

[76] DR WEB. Trojan preinstalled on Android devices infectsapplications’ processes and downloads malicious modu-les. http://news.drweb.com/news/?i=11390&lng=en. [Onli-ne; accessed 31-March-2019].

[77] FELT, A. P., CHIN, E., HANNA, S., SONG, D., AND WAG-NER, D. Android Permissions Demystified. In Proceedingsof the ACM Conference on Computer and CommunicationSecurity (CCS) (2011).

[78] FELT, A. P., WANG, H. J., MOSHCHUK, A., HANNA, S.,AND CHIN, E. Permission Re-Delegation: Attacks AndDefenses. In Proceedings of the USENIX Security Sym-posium (2011).

[79] IKRAM, M., VALLINA-RODRIGUEZ, N., SENEVIRATNE, S.,KAAFAR, M. A., AND PAXSON, V. An analysis of theprivacy and security risks of android vpn permission-enabled apps. In Proceedings of the Internet Measure-ment Conference (IMC) (2016).

[80] JIANG, Y. Z. X., AND XUXIAN, Z. Detecting PassiveContent Leaks And Pollution In Android Applications. InProceedings of the Network and Distributed System Se-curity Symposium (NDSS) (2013).

[81] JOHNSON, RYAN AND STAVROU, ANGELOS ANDBENAMEUR, AZZEDINE. All Your SMS & Contacts Belongto ADUPS & Others. https://www.blackhat.com/docs/us-17/wednesday/us-17-Johnson-All-Your-SMS-&-Contacts-Belong-To-Adups-&-Others.pdf. [Online; accessed31-March-2019].

[82] LI, L., BISSYANDE, T. F., KLEIN, J., AND LE TRAON, Y. Aninvestigation into the use of common libraries in androidapps. In Proceedings of the International Conferenceon Software Analysis, Evolution, and Reengineering (SA-NER) (2016).

[83] PAN, E., REN, J., LINDORFER, M., WILSON, C., ANDCHOFFNES, D. Panoptispy: Characterizing Audio and Vi-deo Exfiltration from Android Applications. Proceedings ofthe Privacy Enhancing Technologies Symposium (PETS)2018.

[84] RAZAGHPANAH, A., NITHYANAND, R., VALLINA-RODRIGUEZ, N., SUNDARESAN, S., ALLMAN, M.,KREIBICH, C., AND GILL, P. Apps, Trackers, Privacy,and Regulators: A Global Study of the Mobile TrackingEcosystem. In Proceedings of the Network and DistributedSystem Security Symposium (NDSS) (2018).

[85] RAZAGHPANAH, A., VALLINA-RODRIGUEZ, N., SUNDARE-SAN, S., KREIBICH, C., GILL, P., ALLMAN, M., AND PAX-

SON, V. Haystack: In situ mobile traffic analysis in userspace. arXiv preprint arXiv:1510.01419 (2015).

[86] REN, J., LINDORFER, M., DUBOIS, D. J., RAO, A., CHOFF-NES, D., AND VALLINA-RODRIGUEZ, N. Bug Fixes, Impro-vements,... and Privacy Leaks.

[87] REYES, I., WIJESEKERA, P., REARDON, J., ON, A.E. B., RAZAGHPANAH, A., VALLINA-RODRIGUEZ, N.,AND EGELMAN, S. ”Won’t Somebody Think of theChildren?.Examining COPPA Compliance at Scale. Procee-dings of the Privacy Enhancing Technologies Symposium(PETS) (2018).

[88] VALLINA-RODRIGUEZ, N., AMANN, J., KREIBICH, C.,WEAVER, N., AND PAXSON, V. A Tangled Mass: TheAndroid Root Certificate Stores. In Proceedings of theInternational Conference on Emerging Networking EXpe-riments and Technologies (CoNEXT) (2014).

[89] VALLINA-RODRIGUEZ, N., SHAH, J., FINAMORE, A., GRU-NENBERGER, Y., PAPAGIANNAKI, K., HADDADI, H., ANDCROWCROFT, J. Breaking for commercials: characterizingmobile advertising. In Proceedings of the Internet Measu-rement Conference (IMC) (2012).

[90] WANG, H., LIU, Z., LIANG, J., VALLINA-RODRIGUEZ, N.,GUO, Y., LI, L., TAPIADOR, J., CAO, J., AND XU, G.Beyond Google Play: A Large-Scale Comparative Studyof Chinese Android App Markets. In Proceedings of theInternet Measurement Conference (IMC) (2018).

[91] WEI, F., ROY, S., OU, X., AND ROBBY. Amandroid: APrecise and General Inter-component Data Flow Analy-sis Framework for Security Vetting of Android Apps. InProceedings of the ACM Conference on Computer andCommunication Security (CCS) (2014).

[92] WU, D., GAO, D., CHANG, R. K. C., HE, E., CHENG, E.K. T., , AND DENG, R. H. Understanding Open Ports InAndroid Applications: Discovery, Diagnosis, And SecurityAssessment. Proceedings of the Network and DistributedSystem Security Symposium (NDSS) (2019).

[93] ZHAUNIAROVICH, Y., AND GADYATSKAYA, O. Small Chan-ges, Big Changes: An Updated View On The AndroidPermission System. In Research in Attacks, Intrusions,and Defenses (2016).

[94] ZHOU, X., LEE, Y., ZHANG, N., NAVEED, M., AND WANG,X. The Peril Of Fragmentation: Security Hazards In An-droid Device Driver Customizations. In IEEE Symposiumon Security and Privacy (SP) (2014).

24

APENDICE

A. Distribucion de la base de usuarios

La Tabla IX describe nuestra distribucion geografi-ca de la base de usuarios.

Paıs(N=130) Muestras Vendedores Vendedores

compartirTotal Unico

Estados Unidos 12 % 36 11 17 %Espana 6 % 24 3 11 %Indonesia 6 % 26 7 12 %Italoa 5 % 15 6 7 %Reino Unido 4 % 19 6 9 %Mexico 3 % 17 3 8 %Tailanda 3 % 28 12 13 %Alemania 3 % 21 2 10 %Belgica 2 % 17 4 8 %Paıses Bajos 2 % 16 2 8 %

Paıses total 130 — 214

Cuadro IX: Distribucion geografica de nuestrosusuarios. Solo se muestran los 10 principalespaıses.

25

B. Custom permissions

La Tabla X informa un subconjunto de permisos personalizados definidos por proveedores de dispositivos,MNO, servicios de terceros y conjunto de chips fabricantes.

PERMISOS FABRICANTES

Paquete Firma Vendedor(es) Permiso

com.sonyericsson.facebook.proxylogin Sony Ericsson (SE) Sony com.sonyericsson.permission.FACEBOOKcom.sonymobile.twitter.account Sony Ericsson (SE) Sony com.sonymobile.permission.TWITTERandroid Sony Ericsson (SE) Sony com.sonymobile.googleanalyticsproxy.permission.GOOGLE ANALYTICScom.htc.socialnetwork.facebook Android (TW) HTC *.permission.SYSTEM USEcom.sonymobile.gmailreaderservice Sony Ericsson (SE) Sony com.sonymobile.permission.READ GMAILcom.sec.android.daemonapp Samsung Corporation (KR) Samsung *.ap.accuweather.ACCUWEATHER DAEMON ACCESS PROVIDERandroid Lenovo (CN) Lenovo android.permission.LENOVO MDMcom.asus.loguploaderproxy AsusTek (TW) Asus asus.permission.MOVELOGScom.miui.core Xiaomi (CN) Xiaomi miui.permission.DUMP CACHED LOGandroid Samsung (KR) Samsung com.sec.enterprise.knox.KNOX GENERIC VPNcom.sec.enterprise.permissions Samsung (KR) Samsung android.permission.sec.MDM ENTERPRISE VPN SOLUTIONcom.android.vpndialogs Meizu (CN) Meizu com.meizu.permission.CONTROL VPN

PERMISOS MNO


com.android.mms ZTE T-Mobile US com.tmobile.comm.RECEIVE METRICScom.lge.ipservice LG T-Mobile US com.tmobile.comm.RECEIVE METRICShr.infinum.mojvip Infinum (HR) [40] H1 Croatia hr.infinum.mojvip.permission.RECEIVE ADM MESSAGEcom.locationlabs.cni.att AT&T (US) AT&T (US) [47] com.locationlabs.cni.att.permission.BROADCASTcom.asurion.android.verizon.vms Asurion (US) [17] Verizon (US) com.asurion.android.verizon.vms.permission.C2D MESSAGEjp.naver.line.android Naver (JP) South Korea Telekom com.skt.aom.permission.AOM RECEIVE

PERMISSIONS DE SERVICOS DE TERCEROS


com.facebook.system Facebook Facebook *.ACCESScom.amazon.kindle Amazon Amazon com.amazon.identity.auth.device.perm.AUTH SDKcom.huawei.android.totemweather Huawei (CN) Baidu android.permission.BAIDU LOCATION SERVICEcom.oppo.findmyphone Oppo (CN) Baidu android.permission.BAIDU LOCATION SERVICEcom.dti.sliide Logia Digital Turbine com.digitalturbine.ignite.ACCESS LOGcom.dti.att Logia Digital Turbine com.dti.att.permission.APP EVENTScom.ironsource.appcloud.oobe.wiko ironSource ironSource com.ironsource.aura.permission.C2D MESSAGEcom.vcast.mediamanager Verizon (US) Synchronoss com.synchronoss.android.sync.provider.FULL PERMISSIONcom.myvodafone.android Vodafone (GR) Exus uk.co.exus.permission.C2D MESSAGEcom.trendmicro.freetmms.gmobi TrendMicro (TW) GMobi com.trendmicro.androidmup.ACCESS TMMSMU REMOTE SERVICEcom.skype.rover Skype (GB) Skype com.skype.android.permission.READ CONTACTScom.cleanmaster.sdk Samsung (KR) CleanMaster com.cleanmaster.permission.sdk.cleancom.netflix.partner.activation Netflix (US) Netflix *.permission.CHANNEL ID

PERMISSIONS CHIPSET


com.qualcomm.location ZTE (CN) Qualcomm com.qualcomm.permission.IZATcom.mediatek.mtklogger TCL (CN) MediaTek com.permission.MTKLOGGERcom.android.bluetooth Samsung (KR) Broadcom broadcom.permission.BLUETOOTH MAP

Cuadro X: Ejemplos de permisos personalizados. El comodın * representa el nombre del paquete siempreque el prefijo de permiso y el solapamiento del nombre del paquete.

un analisis del software de android preinstalado´ · 1 un analisis del software de android...

Documents