Detection and classification of privacy leaks enabled by third-party trackers in COVID-19 mobile applications.

Abstract

Since 2019, the world has been experiencing a pandemic without precedents in our current technological era. Governments and other high-profile organizations devoted special efforts to developing and sponsoring mobile applications that, while varying in their goals, tried to help contain the spread of COVID-19 and enable people to have the best quality of life possible. However, while third-party libraries and their impact on the user’s privacy have been studied before, especially those considered trackers, these have found their way into COVID-19 applications backed by high-profile organizations. By trackers we considered third-party libraries included in applications to provide certain functionalities that, in addition, gather information regarding the application, the device and their use, and send it to their servers. The research for this thesis found that 402 out of 595 studied applications contained at least one tracker. In addition, it was confirmed that sensitive information was transferred to the tracker servers, potentially disclosing the health status of the application users. On the other hand, evidence indicates that governments can improve their data protection impact assessments and the disclosure they make in their privacy policies; the latter also applies to trackers. Finally, SAPITO, an easy-to-use open-source tool, is presented. Based on the knowledge and lessons learned during this research, it was created with the objective of helping privacy teams and researchers to detect automatically data leakages when analyzing third-party libraries in Android applications.

Desde el 2019, el mundo ha venido sufriendo una pandemia sin precedentes en la presente era tecnológica. Gobiernos y otras organizaciones de alto perfil han destinado recursos especialmente para el desarrollo y promoción de aplicaciones móviles que, aunque variando en su objetivo, estuvieron enfocadas a contener el avance de la COVID-19, permitiendo a los ciudadanos poder tener la mejor calidad de vida posible durante la pandemia. Sin embargo, a pesar de que la utilización de librerías de terceros y el impacto que esto tiene en la privacidad de los usuarios ha sido estudiado previamente, en especial cuando estas librerías son en efecto “trackers”, estas fueron incluidas en las aplicaciones móviles usadas para combatir la COVID-19. Con “tracker” hacemos referencia a librerías de terceros que proveen ciertas funcionalidades al ser incluidas en aplicaciones móviles y que, además, recolectan información en tiempo real sobre la aplicación, el dispositivo y las interacciones del usuario, enviando luego esta información recogida a sus servidores. En la investigación comprendida en esta tesis, encontramos que 402 de las 595 aplicaciones móviles estudiadas contenían al menos un “tracker”. Adicionalmente, identificamos que información sensible fue transferida a los servidores de los “trackers”, potencialmente revelando información sobre el estado de salud de los usuarios de estas aplicaciones. Por otro lado, sobre lo investigado para estas aplicaciones móviles, la evidencia indica que los gobiernos podrían mejorar sus evaluaciones de impacto en protección de datos y lo que es detallado en sus políticas de privacidad; esto último también aplicando a los proveedores de “trackers”. Por último, presentamos SAPITO, una herramienta para el análisis de privacidad open-source con foco en su facilidad de uso. En base al conocimiento adquirido y las lecciones aprendidas durante nuestra investigación, SAPITO fue creado con el objetivo de apoyar a los equipos e investigadores de privacidad a detectar de manera automática problemas de privacidad al analizar el uso de librerías de terceros en aplicaciones móviles para Android.