Một mặt, mô hình cấp phép trên hệ điều hành Android và các ứng dụng cung cấp một số lượng lớn diễn viên để theo dõi và lấy thông tin người dùng cá nhân. Đồng thời, người dùng cuối không biết về các tác nhân này trên các thiết bị Android. Hơn nữa, sự hiện diện của phần mềm đặc quyền này trong hệ thống khiến cho việc loại bỏ chúng trở nên khó khăn nếu người dùng không phải là người dùng thông thái.
Dưới đây là kết quả của một nghiên cứu được thực hiện bởi Đại học Carlos III de Madrid (UC3M) và Viện IMDEA Networks, phối hợp với Viện Khoa học Máy tính Quốc tế (ICSI) tại Berkeley (Hoa Kỳ) và Đại học Stony Brook của New York (Hoa Kỳ). Nghiên cứu bao gồm 82.000 ứng dụng được cài đặt sẵn trong hơn 1.700 thiết bị được sản xuất bởi 214 thương hiệu, cho thấy sự tồn tại của một hệ sinh thái phức tạp gồm các nhà sản xuất, nhà điều hành di động, nhà phát triển ứng dụng và nhà cung cấp, với một mạng lưới quan hệ rộng lớn giữa chúng. Kết quả còn bao gồm các tổ chức chuyên ngành trong việc theo dõi người dùng và cung cấp quảng cáo trên Internet.
Những kết quả này được trình bày chi tiết trong một bài báo sẽ được công khai vào ngày 1 tháng 4 và được trình bày tại một trong những hội nghị về quyền riêng tư và an ninh mạng trên toàn thế giới, Hội nghị chuyên về bảo mật và quyền riêng tư lần thứ 41 tại California (Hoa Kỳ) dưới tiêu đề Phân tích Phần mềm Android được cài đặt sẵn.
Cơ quan bảo vệ dữ liệu Tây Ban Nha đã góp phần phổ biến nghiên cứu này vì tác động lớn của kết quả đến quyền riêng tư của công dân, cũng sẽ được trình bày trước Ủy ban bảo vệ dữ liệu châu Âu.
Ngoài các quyền tiêu chuẩn được xác định trong Android và có thể được kiểm soát bởi người dùng, các nhà nghiên cứu đã xác định hơn 4.845 quyền sở hữu hoặc quyền cá nhân hóa của các tác nhân khác nhau trong quá trình sản xuất và phân phối thiết bị đầu cuối.
Loại quyền này cho phép các ứng dụng được quảng cáo trên Google Play với mục đích trốn mô hình cấp phép của Android để truy cập dữ liệu người dùng mà không cần sự đồng ý khi cài đặt ứng dụng mới.
Đối với các ứng dụng được cài đặt sẵn trên thiết bị, có 1.200 nhà phát triển đứng đằng sau các phần mềm đó, cũng như sự hiện diện của hơn 11.000 thư viện (SDK) của bên thứ ba. Một phần quan trọng của các thư viện có liên quan đến dịch vụ quảng cáo và theo dõi trực tuyến cho mục đích thương mại.
Các ứng dụng được cài đặt sẵn này được thực thi với sự cho phép đặc quyền và trong phần lớn các trường hợp, không thể gỡ cài đặt khỏi hệ thống. Một phân tích đầy đủ về hành vi của 50% các ứng dụng được xác định cho thấy nhiều trong số chúng hiển thị hành vi nguy hiểm hoặc không mong muốn.
Cảnh báo từ AEPD
Theo thông cáo báo chí từ AEPD, cơ quan quốc gia này sẽ trình bày nghiên cứu về các ứng dụng được cài đặt sẵn và kết luận cho các nhóm làm việc của Ủy ban bảo vệ dữ liệu châu Âu (ECDP), một phần của Liên minh châu Âu, cùng với các tổ chức bảo vệ dữ liệu Châu Âu và giám sát viên châu Âu.
Các tổ chức sẽ thiết lập các kênh hợp tác với các nhóm nghiên cứu, ngành công nghiệp và nhà phát triển, với mục tiêu đặt niềm tin vào nền kinh tế kỹ thuật số phù hợp với những gì được đặt ra trong Quy định bảo vệ dữ liệu chung (GDPR).
Theo Cơ quan bảo vệ dữ liệu Tây Ban Nha, nghiên cứu này góp phần cho phép các nhà sản xuất, nhà phát triển và nhà phân phối áp dụng các nguyên tắc bảo mật mặc định, bảo vệ quyền và tự do của cá nhân.
