¿Tienes un dispositivo Android de menos de tres años? Si la respuesta es sí, es probable que esté informando de tu historial de localización a cualquiera que quiera enterarse de ello. Sí, incluso con la pantalla apagada y la conexión WiFi activa pero sin estar conectada a nada.
Esa información proviene del historial de localización, que es la lista de nombres de las redes WiFi a las que te has conectado anteriormente. Los nombres de red suelen incluir información sobre lugares de conexión habitual como tu domicilio, tu oficina, o tu cafetería predilecta.
La filtración de este tipo de información puede ser más peligrosa que otros casos anteriores de filtración de la localización del usuario porque muestra, en un lenguaje muy comprensible, lugares donde hemos estado el tiempo suficiente como para usar la red WiFi. Generalmente, un individuo necesita tiempo y conocimientos para analizar los datos relativos a la localización de un usuario concreto. Las redes WiFi pueden parecer menos identificables, pero hay muchasformas de examinarlas.
El debate sobre este problema ya se puso de manifiesto recientemente cuando Apple decidió que las direcciones MAC fueran aleatorias en iOS 8. El problema es que los dispositivos WiFi que no están conectados de forma activa a una red pueden enviar mensajes con la lista de sitios a los que se han conectado anteriormente en un intento por hacer más sencillo el proceso de conexión.
Tras el caso de Apple, tuvimos curiosidad por averiguar qué smartphones se comportan de esa manera y cuánta información emiten. La respuesta es inquietante. La mayoría de los terminales Android filtran una lista de hasta 15 nombres de redes WiFi a las que se han conectado previamente. Los nombres de esas redes permiten deducir muchos datos sobre los movimientos habituales de una persona.
No solo Android sufre de este problema. Otras plataformas también necesitan solucionarlo, pero Android es la que más pone en entredicho la privacidad del usuario. La raiz del problema en el sistema operativo de Google es una función que llegó con la versión 3.1 Honeycomb llamadaPreferred Network Offload (PNO). Esta función facilita a smartphones y tabletas establecer y mantener conexiones WiFi incluso cuando están en modo de bajo consumo (con la pantalla apagada).
El objetivo de PNO es ahorrar batería y reducir el uso de datos móviles pero, por alguna razón, algunos de los dispositivos emiten un mensaje con la lista de las últimas redes a las que se han conectado cuando la pantalla está apagada. Ninguno de ellos lo hace con la pantalla activa.
La respuesta de Google
Cuando escribimos a Google explicando el problema, esta fue su respuesta:
En Google nos tomamos muy seriamente la seguridad de los datos de localización de los usuarios, y nos gusta ser conscientes de amenazas potenciales a esta seguridad. Cambiar esta función afectaría a la conectividad a nuevos puntos de acceso y redes ocultas, por lo que estamos investigando qué cambios serían los ideales de cara a una futura versión.
Además de esta respuesta, un técnico de Google ha enviado recientemente un parche awpa_supplicant que soluciona el problema. Aunque nos alegra que Google esté reaccionando tan rápido a la cuestión, aún pasará un tiempo hasta que el parche esté integrado en el código de Android, e incluso entonces la fragmentación de versiones de Android podría hacer que algunos usuarios nunca reciban la solución al problema.
Cómo proteger tu privacidad
Dicho esto, hay una forma de dar un rodeo para impedir que nuestro smartphone siga compartiendo nuestra localización. Para ello hay que entrar en Ajustes > WiFi > Ajustes avanzados y activar la opción Nunca en Usar WiFi en suspensión. Desafortunadamente, esto genera un ligero incremento en el uso de datos y en el consumo energético. Es un peaje que los usuarios no deberían tener que pagar para que proteger la privacidad de su localización.
Para empeorar las cosas, al menos en uno de los dispositivos que hemos probado (Un Motorola Droid 4 con Android 4.1.2) ni siquiera esta cambio en la configuración es suficiente. En el Droid 4 y probablemente en otros teléfonos, el único método definitivo es ir borrando la lista de redes conocidas, o deshabilitar completamente la conectividad WiFi. Algunas aplicaciones de gestión de redes hacen esto automáticamente.
El historial de localizaciones es una información sensible. Esperamos que Google lance una solución a la menor brevedad, y que los fabricantes de terminales Android introduzcan el parche en sus actualizaciones.
Notas
La función que presenta el problema es necesaria para conectarse a redes ocultas, ya que estas redes no muestran públicamente su posición como las WiFi normales. En su lugar, es el propio smartphone el que envía un mensaje en el que esencialmente pregunta: "¿Hay alguien ahí?. Si está dentro del alcance de la red oculta, esta responde.
En nuestras pruebas no hemos detectado que ningún dispositivo iOS 6 o iOS 7 tenga este mismo problema. Sin embargo, sí que ocurre en algunos dispositivos con iOS 5, en todos los laptop OS X, y en bastantes portátiles con Windows 7. El problema en los portátiles es menos acusado porque este tipo de dispositivos no suelen estar mucho tiempo en reposo buscando redes, lo que los convierte en blancos más complicados.
El código que busca una solución al problema forma parte de un proyecto de código abierto llamado wpa_supplicant que abarca varias distribuciones Linux, incluyendo Android. Queremos agradecer al desarrollador Chainfire y varios usuarios más de XDA Forums que ayudaron a determinar este fallo. Otros usuarios habían señalado también el problema con anterioridad.
La lista de terminales que hemos probado está disponible públicamente en un archivo CSV o DOC.
Ninguno de los métodos aquí explicados son perfectos. Un hacker con experiencia podría obtener la lista de redes simplemente desconectando el dispositivo de forma remota. Eventualmente, el móvil podría reenviar la lista de redes tratando de reconectarse.
Este artículo se publicó originalmente en la Electronic Frontier Foundation, publicado ahora en Gizmodo en Español bajo licencia Creative Commons. Imagen: Rob Bulmahn bajo licencia Creative Commons.
Fuente: Gizmodo
Fuente: Gizmodo
No hay comentarios:
Publicar un comentario