Expertos advierten con no comprar un teléfono Android en China, ya que vendrían repletos de aplicaciones preinstaladas que transmiten datos confidenciales a dominios de terceros sin consentimiento ni previo aviso.
La investigación, realizada por Haoyu Liu (Universidad de Edimburgo), Douglas Leith (Trinity College de Dublín) y Paul Patras (Universidad de Edimburgo), sugiere que la fuga de información privada supone un grave riesgo de rastreo para los clientes de teléfonos móviles en China, incluso cuando viajan al extranjero, a países con leyes de privacidad más estrictas.
En un artículo titulado «Android OS Privacy Under the Loupe – A Tale from the East», el trío de expertos universitarios analizó las aplicaciones del sistema Android instaladas en los teléfonos móviles de tres populares fabricantes de smartphones en China: OnePlus, Xiaomi y Oppo Realme.
Los investigadores analizaron específicamente la información transmitida por el sistema operativo y las aplicaciones del sistema, con el fin de excluir el software instalado por el usuario. Suponiendo que los usuarios han optado por excluirse de las analíticas y la personalización, no utilizan ningún almacenamiento en la nube ni servicios opcionales de terceros, y no han creado una cuenta en ninguna plataforma gestionada por el desarrollador de la distribución de Android. Una política sensata, que no parece ayudar mucho.
El conjunto de aplicaciones preinstaladas se compone de paquetes AOSP de Android, código de proveedores y software de terceros. Según el documento, hay más de 30 paquetes de terceros en cada uno de los terminales Android con firmware chino.
Entre ellos se incluyen aplicaciones de entrada chinas como Baidu Input, IflyTek Input y Sogou Input en el Xiaomi Redmi Note 11. En el OnePlus 9R y el Realme Q3 Pro, hay Baidu Map como app de navegación en primer plano y el paquete AMap, que se ejecuta continuamente en segundo plano. Y también hay varias aplicaciones de noticias, streaming de vídeo y compras online integradas en el firmware chino.
Dentro de este ámbito de aplicaciones, los investigadores descubrieron que los teléfonos Android de los tres proveedores mencionados «envían una cantidad preocupante de información de identificación personal (PII) no sólo al proveedor del dispositivo, sino también a proveedores de servicios como Baidu y a operadores de redes móviles chinos».
Los teléfonos analizados lo hacían incluso cuando estos operadores de red no prestaban servicio: no había tarjeta SIM presente o la tarjeta SIM estaba asociada a un operador de red diferente.
«Los datos que observamos que se transmiten incluyen identificadores persistentes del dispositivo (IMEI, dirección MAC, etc.), identificadores de ubicación (coordenadas GPS, ID de célula de red móvil, etc.), perfiles de usuario (número de teléfono, patrones de uso de aplicaciones, telemetría de aplicaciones) y conexiones sociales (historial/tiempo de llamadas/SMS, números de teléfono de contacto, etc.)», afirman los investigadores en su artículo.
«Combinada, esta información plantea graves riesgos de desanonimización del usuario y de rastreo extensivo, sobre todo porque en China cada número de teléfono está registrado bajo un ID de ciudadano».
A modo de ejemplo, los investigadores afirman que el teléfono Redmi envía solicitudes de envío a la URL «tracking.miui.com/track/v4» cada vez que se abren y utilizan las aplicaciones preinstaladas Ajustes, Nota, Grabadora, Teléfono, Mensajes y Cámara, y los datos se envían incluso si los usuarios optan por desactivar la opción «Enviar datos de uso y diagnóstico» durante el arranque del dispositivo.
La recopilación de datos de estos dispositivos no cambia cuando los dispositivos salen de China, dicen los investigadores, a pesar de que jurisdicciones más allá del Reino Medio aplican regímenes de protección de datos más robustos. Y los cerebritos sostienen que esto significa que los citados vendedores de teléfonos y algunos terceros pueden rastrear a los viajeros y estudiantes chinos en el extranjero y saber algo de sus contactos en el extranjero.
Otra de las conclusiones de los investigadores es que en las distribuciones chinas de Android hay de tres a cuatro veces más aplicaciones de terceros preinstaladas que en los Android básicos de otros países. Y estas aplicaciones obtienen entre ocho y diez veces más permisos para aplicaciones de terceros en comparación con las distribuciones de Android de fuera de China.
«En general, nuestros hallazgos pintan un panorama preocupante del estado de la privacidad de los datos de los usuarios en el mayor mercado Android del mundo, y ponen de relieve la urgente necesidad de controles de privacidad más estrictos para aumentar la confianza de la gente común en las empresas de tecnología, muchas de las cuales son parcialmente de propiedad estatal», concluyen los investigadores.
