Resumen de Understanding the evolution of android applications
Google lanzó en septiembre de 2008 la primera versión de Android, que creció rápidamente hasta convertirse en el sistema operativo móvil más popular, con una cuota de mercado superior al 75% en mayo de 2019. No solo el sistema operativo ha cambiando significativamente en los últimos 10 años, sino también las aplicaciones se actualizan continuamente para estar al día con los constantes cambios del sistema y las necesidades de los usuarios. Con todos estos constantes cambios, puede ser difícil para los usuarios finales o los administradores de las tiendas de aplicaciones entender qué ha cambiado realmente entre dos versiones de la misma app, y si actualizarla puede ser una amenaza. En esta tesis nos centramos en analizar cómo las aplicaciones de Android evolucionan, centrando nuestra investigación en la seguridad y la privacidad.
Nuestra primera contribución es un análisis de cómo las solicitudes de permisos evolucionan en aplicaciones de Android. En este trabajo confirmamos algunas tendencias ya reportadas en la literatura, como que las aplicaciones aumentan la cantidad de permisos solicitados a lo largo del tiempo. También presentamos nuevos hallazgos, como que la inclusion o eliminación de permisos y funcionalidades no está siempre correlacionada.
A continuación de los resultados del primer estudio, donde nos centramos solo en las solicitudes de permisos, realizamos un análisis más amplio y en mayor profundidad que tiene en cuenta varios aspectos de las aplicaciones. Combinamos los datos extraídos, como flujos de información, cambios en el layout y librerías usadas, para reportar el comportamiento evolutivo de las aplicaciones, mostrando que la inclusión de un flujo de información nuevo dentro de la aplicación es completamente transparente para los usuarios el 18% de los casos.
La tercera contribución en esta tesis es un estudio realizado sobre aplicaciones de control parental: estas aplicaciones, que tienen usuarios muy vulnerables, deben prestar especial atención a la seguridad y la privacidad. Mostramos que estas aplicaciones piden, de media, más permisos que las 150 aplicaciones más descargadas de Google Play Store. También reportamos algunos problemas de privacidad, como el uso de librerías que prohiben en sus términos de uso su inclusión en aplicaciones orientadas a su uso por niños.
La cuarta contribución es un estudio sobre la amenaza para los usuarios que los grupos de permisos introducidos en Android 6 pueden suponer. A partir de esta versión los permisos están divididos en grupos y si una app ya tiene concedido un permiso del grupo y pide uno nuevo, este se acepta de forma automática. Investigamos cómo de habitual es este comportamiento y si los desarrolladores están abusando de ello para acceder a información delicada de sus usuarios. Nuestros analisis demuestran que, efectivamente, esto se produce.
Finalmente, todas las técnicas de análisis implementadas para nuestros estudios fueron integradas en Cartographer, un framework de análisis creado como parte del trabajo de esta tesis y que hemos puesto a disposición de la comunidad investigadora.
