Así espían Xiaomi, Realme y OnePlus a usuarios de Android

Una investigación sobre móviles Android comprados en China comprobó que dispositivos de marcas populares como Xiaomi, Oppo o OnePlus están plagados de bloatware que recopila cantidades alarmantes de datos personales y los comparten con terceros.

El problema con las aplicaciones que recopilan y comparten información personal de los usuarios a sus espaldas, existe en todo el mundo. Sin embargo, en China está a otro nivel. Así lo reveló una reciente investigación realizada sobre móviles Android vendidos por Xiaomi, OnePlus y Realme en el gigante asiático. La misma demostró que llegan plagados de aplicaciones preinstaladas que registran todo tipo de datos sensibles y los envían a terceros.

The Register se hizo eco del trabajo de tres estudiantes universitarios —dos de la Universidad de Edimburgo, Escocia, y el restante del Trinity College irlandés—, quienes realizaron el impactante descubrimiento. Los resultados se obtuvieron al estudiar el software de tres de los modelos de móviles Android más populares de las citadas marcas chinas. Se centraron específicamente en el Redmi Note 11, de Xiaomi, el OnePlus 9R y el Realme Q3 Pro.

Los analistas descubrieron que cada uno de los citados teléfonos llegaban con más de 30 paquetes de aplicaciones de terceros. Varios de los cuales se ejecutaban continuamente en segundo plano para capturar y compartir información personal sin que los usuarios se percataran de ello.

En el caso del móvil de Xiaomi, se encontró que entre el bloatware aparecían apps como Baidu Input y Sogou Input. Mientras que los de OnePlus y Realme —dos de las subsidiarias de BBK junto a Vivo y Oppo— tenían en común la presencia de aplicaciones de navegación como Baidu Map y Amap, esta última perteneciente al Alibaba Group.

Otros paquetes de software preinstalados en los citados móviles Android incluían servicios de streaming de vídeo, compras en línea y portales de noticias. Y todas tenían acceso prácticamente irrestricto a todo tipo de información personal identificable. Material que no solo se enviaba a los fabricantes de los smartphones, sino también a Baidu (el Google chino) y a proveedores de telefonía móvil.

Las principales marcas de móviles Android espían descaradamente a sus usuarios en China

Los autores de la investigación identificaron los parámetros registrados por cada uno de los móviles Android analizados, y los resultados son alarmantes. Y dejan en claro que las empresas involucradas han montado una infraestructura específicamente destinada a espiar a sus usuarios.

«Descubrimos que se otorgan privilegios peligrosos a una cantidad alarmante de aplicaciones preinstaladas del sistema, del proveedor y de terceros. A través del análisis de tráfico, encontramos que estos paquetes transmiten a muchos dominios de terceros información confidencial de privacidad relacionada con el dispositivo del usuario (identificadores persistentes), geolocalización (coordenadas de GPS, identificadores relacionados con la red), perfil de usuario (número de teléfono, uso de aplicaciones) y relaciones sociales (por ejemplo, historial de llamadas), sin consentimiento o incluso notificación».

Haoyu Liu, Paul Patras y Douglas Leith, autores de la investigación.

Pero lo interesante de esta historia es que el comportamiento invasivo del bloatware no se limita a operar dentro de China. Cuando los usuarios viajan fuera del país, siguen recolectando una gran cantidad de información, incluso pese a las legislaciones más estrictas que aplican en muchos territorios de Occidente. Algo que se agrava al considerar que todas las líneas telefónicas chinas se registran bajo una identificación personal.

Ciertamente, ninguna de las marcas de móviles Android analizadas queda bien parada. En el caso específico de Xiaomi, los investigadores detectaron que el smartphone Redmi enviaba información a una URL de rastreo externa cada vez que se abrían las apps preinstaladas de Cámara, Mensajes, Notas y hasta la grabadora de sonido. Pero no solo eso, puesto que el comportamiento era el mismo al ingresar a los ajustes del móvil.

Además, los dispositivos intentaban enviar la información sensible cuando no había redes móviles disponibles o cuando se utilizaba una línea telefónica de un proveedor diferente. Y también aunque no se detectara la presencia de una tarjeta SIM.

Qué sucede en el resto del mundo

Por último, los investigadores realizaron una comparación interregional de las versiones de Android utilizadas en los móviles chinos, con sus contrapartes globales creadas por los mismos desarrolladores. «Descubrimos que la cantidad de aplicaciones de terceros preinstaladas en las distribuciones chinas del sistema operativo es de 3 a 4 veces mayor que para su correspondiente distribución global. Y que estas reciben de 8 a 10 veces más permisos que las aplicaciones de terceros en las distribuciones globales, incluyendo muchos más de los que son clasificados como peligrosos», explicaron.

Recordemos que ninguna de las marcas mencionadas en el estudio utiliza las versiones «puras» de Android en sus móviles. Xiaomi tiene su propia distribución llamada MIUI, basada en el SO de Google, mientras que OnePlus hace lo propio con OxygenOS. En tanto que Realme utilizó ColorOS, de Oppo, hasta que en 2020 adoptó Realme UI, su propia capa de personalización sobre Android.