¿Lees la letra pequeña de las aplicaciones móviles?

n la actualidad, diversos investigadores de Carnegie Mellon (CMU) y la Universidad de Rutgers, en Estados Unidos, consideran que es posible externalizar eficazmente esta tarea de análisis, y ofrecer a los consumidores advertencias intuitivas sobre configuraciones dudosas de acceso a los datos. El sistema prototipo, construido actualmente para aplicaciones Android, envía la descripción de la aplicación a los trabajadores, y sus solicitudes asociadas de acceso a datos, a través del servicio de externalización Mechanical Turk de Amazon.

Los trabajadores remotos leen los ajustes y ofrecen opiniones, un proceso que les lleva menos de un minuto y por el que se les paga 12 centavos de dólar (9 céntimos de euro) por unidad. Después sus opiniones se pueden agregar en las advertencias.

Pongamos como ejemplo la aplicación "Brightest Flashlight" de Goldenshores Technology. Esta aplicación se limita a crear una pantalla en blanco para proporcionar iluminación, pero la pantalla de permisos requiere que la aplicación ofrezca nuestra "ubicación aproximada" a anunciantes. También puede ver tu posición GPS precisa y te pide el número identificador único del teléfono.

Cuando los investigadores de CMU y Rutgers hicieron que 170 trabajadores de Mechanical Turk leyeran los ajustes de Brightest Flashlight, entre el 90 y el 95 por ciento se sorprendieron al ver los requisitos. Un prototipo de pantalla de advertencia muestra sus hallazgos, junto a iconos en forma de banderas rojas. "La idea básica consiste en cómo podemos ayudar a las personas que no son expertas en seguridad de redes y ordenadores a entender lo que una aplicación está haciendo" , indica Jason Hong, científico informático en CMU, además de uno de los líderes del proyecto. "Externalizamos el trabajo y pedimos a otra gente que lea la configuración de privacidad y que nos resalten los puntos más interesantes".

Las 'multitudes' que forman Mechanical Turk suelen llegar a los mismos tipos de conclusiones generales a las que llegan los científicos informáticos cuando se trata de configuraciones de privacidad cuestionables, afirma Hong. Los investigadores están estudiando si la gente evitaría la descarga de aplicaciones después de haber recibido tales advertencias, y esperan crear una aplicación comercial que proporcione opiniones externalizadas sobre las configuraciones de privacidad a finales de este año. Es una de las muchas maneras en que la externalización, en general, se está convirtiendo en una vía prometedora para mejorar la seguridad móvil, asegura Landon Cox, científico informático de la Universidad de Duke y codesarrollador de una herramienta de supervisión de privacidad que rastrea el uso que hacen las aplicaciones de Android de la información confidencial.

Aunque el prototipo de investigación de CMU-Rutgers está construido para Android, que posee 450.000 aplicaciones, el sistema teóricamente podría complementar otros servicios existentes que analicen aplicaciones en busca de software malicioso, entre ellos, los de Apple. Este sistema externalizado podría advertir a la gente acerca de aplicaciones que técnicamente no sean maliciosas, pero que no sean respetuosas con la privacidad, señala Janne Lindqvist, profesora de investigación de la Universidad de Rutgers y una de las líderes del proyecto.

La iniciativa también quiere ir incluso más allá y lograr entender lo que están haciendo las aplicaciones una vez instaladas, para solicitar opiniones a la gente sobre esos aspectos. Los investigadores tienen un programa en desarrollo, que responde al nombre en código Squiddy y examina las aplicaciones, pantalla por pantalla, para ver a qué datos acceden y con qué servidores remotos se ponen en contacto. Un programa de acompañamiento, con el nombre en código Gort, presenta a continuación esta información como una infografía intuitiva que describe dichos comportamientos a los trabajadores externos. (Aún está en fase de desarrollo un artículo que describe el trabajo). Lindqvist señala que el coste del servicio podría cubrirse mediante las tasas ya obtenidas de los desarrolladores de aplicaciones para la publicación de una aplicación.