El estudio en cuestión (que está disponible en pdf), titulado "TaintDroid: Un Sistema de Rastreo del Flujo de Información para Monitoreo de la Privacidad en Smartphones" fue realizado por la Penn State University, Duke University, junto con Intel Research Labs, reveló una lista de aplicaciones Android que fueron atrapadas in fraganti enviando información del usuario, sin permiso explícito de éste, a servidores propiedad de empresas de anuncios publicitarios.
Para tal fin crearon un programa llamado TaintDroid, que permite monitorear toda la información enviada por una aplicación. En el estudio pusieron a prueba 30 aplicaciones populares al azar, de 12 categorías distintas y comprobaron que, para su sorpresa, la mayoría de ellas hacían un uso indebido de la información de los usuarios de los móviles en los cuales estaban instaladas. Un total de "68 situaciones extrañas relacionadas con información privada, de 20 de dichas aplicaciones".
Según informan, 21 de las 30 aplicaciones requerían permiso para "leer el estado del teléfono y acceder a Internet". Dos de esas 21 aplicaciones fueron descubiertas mandando el número del teléfono, el código IMSI, y el número ICC-ID a sus propios servidores sin permiso del usuario. En algunos casos, también el código IMEI del teléfono era enviado. Más de la mitad de las aplicaciones testeadas estaban enviando información GPS sobre la ubicación del móvil a servidores de terceros, sin permiso explícito o implícito del usuario. Y no se puede siquiera decir que dicho permiso fuera dado implícitamente al aceptar sin leer la licencia (EULA) del programa al instalarlo, puesto que de todas las aplicaciones, sólo dos contaban con este tipo de documentos previos a la instalación, y ninguna aclara que este tipo de información sería enviada a terceros. Cinco de estas aplicaciones incluso, enviaban información GPS sobre la ubicación del móvil a ad.qwapi.com, cinco a admob.com, dos a ads.mobclix.com, y cuatro a data.flurry.com. Además de las que enviaban información a servidores propios.
El estudio, lamentablemente, no especifica cuáles eran las 20 aplicaciones que descubrieron enviando información privada, sólo la lista de las 30 que en total fueron sometidas al monitoreo. Las siguientes aplicaciones fueron usadas en el estudio: The Weather Channel, Cestos, Solitaire, Movies, Babble, Manga Browser, Bump, Wertago, Antivirus, ABC Animals, Traffic Jam, Hearts, Blackjack, Horoscope, 3001 Wisom Quotes Live, Yellow Pages, Dastelefonbuch, Astrid, BBC News Live Stream, Ringtones, Layer, Knocking, Barcode Scanner, Coupons, Trapster, Spongebob Slide, ProBasketBall, MySpace, ixMAT, y Evernote.
Realmente alarmante, teniendo en cuenta que en la lista aparecen grandes nombres, de populares aplicaciones que muchos usuarios tienen instalados en sus móviles. De parte de Google se atajan diciendo que los usuarios sólo deberían instalar aplicaciones de confianza y que siempre que se instala un programa, ya sea en un móvil o en una PC de escritorio se está entregando información personal valiosa al desarrollador de la aplicación. Además, insisten en que ellos proveen al sistema Android de ciertos mecanismos de seguridad que hacen que al instalar una nueva aplicación nos aparezcan mensajes describiendo a qué tendrán acceso dichos programas y que depende del usuario otorgar dichos permisos y continuar con la instalación o cancelarla. Claro, esto no implica que los susodichos mensajes sean bastante ininteligibles y que no sean más específicos. "La aplicación que va a instalar solicita acceso a Internet" no dice mucho realmente.