El artículo galardonado es “50 Ways to Leak Your Data: An Exploration of Apps’ Circumvention of the Android Permissions System”. La AEPD otorga por tercera vez consecutiva su premio de protección de datos a investigadores de IMDEA Networks
La Agencia Española de Protección de Datos (AEPD) ha otorgado el 28 de enero el “Premio a la investigación y protección de datos personales Emilio Aced” por tercera vez consecutiva a un estudio realizado por el grupo de Análisis de Internet (IAG, por sus siglas en inglés) de IMDEA Networks dirigido por el Dr. Narseo Vallina-Rodríguez.
El artículo premiado ha sido “50 Ways to Leak Your Data: An Exploration of Apps’ Circumvention of the Android Permissions System”, que fue presentado en la prestigiosa conferencia internacional USENIX Security 2019. En aquel momento, la comunidad científica ya reconoció su valor e impacto al premiarlo con el Distinguished Paper Award.
Vulnerabilidades en el sistema Android
Esta investigación pionera fue el resultado de una colaboración entre investigadores de IMDEA Networks, la Universidad de Calgary (Canadá), el International Computer Science Institute de UC Berkeley (USA) y la start-up de ciberseguridad AppCensus (USA). El estudio demostró por primera vez la presencia de vulnerabilidades en el sistema operativo Android que permitieron a miles de aplicaciones la recopilación de información sensible de millones de usuarios, como por ejemplo su geolocalización e identificadores únicos, sin su conocimiento y consentimiento a través de ataques de canales encubiertos (covert-channels) y laterales (side-channels).
“Si pensamos en el acceso a datos personales como entrar en una vivienda, un canal lateral consiste en encontrar un método de acceso que no está vigilado (como forzar una ventana en lugar de entrar por la puerta) mientras que un canal encubierto consiste en compartir información a través de un canal alternativo con ayuda de otra entidad (como si una persona nos abriese la puerta trasera para poder acceder al interior de la casa)”, explica Álvaro Feal, estudiante de doctorado en IMDEA Networks y co-autor del trabajo.
El impacto social e industrial del estudio ha sido inmenso. Tras la revelación responsable de la vulnerabilidad, Google incluyó en Android 10 varios cambios en el sistema de permisos para bloquear los ataques laterales y encubiertos descubiertos en el estudio. Sin embargo, todos aquellas personas con dispositivos Android que no reciben las actualizaciones del sistema operativo pueden ser vulnerables a estos ataques aún.
Un estudio de gran repercusión
Tres años después de su publicación, la repercusión del artículo es todavía notable. De hecho, recientemente, varios congresistas de EE.UU citaron el artículo en una carta dirigida al regulador norteamericano, la USA Federal Trade Commission, para instarlos a tomar medidas que permitan controlar las prácticas intrusivas de la industria digital.
“Como científicos, nos resulta muy gratificante ver que nuestro esfuerzo tiene un impacto social tan directo y tangible. Es un grandísimo honor ver que agentes regulatorios de todo el mundo utilizan nuestras investigaciones para legislar y defender nuestros derechos fundamentales y digitales ante una industria digital tan poderosa y compleja”, dice Narseo Vallina-Rodriguez, co-autor del estudio. Este nuevo premio de la AEPD es un reconocimiento que ratifica el valor de la labor desarrollada por los investigadores de IMDEA Networks en materia de seguridad y privacidad.