Study on privacy of parental control mobile applications

Resumen

Parental control applications are one kind of mobile software programs, which are
used by parents to monitor and control the use that their kids make of their cellphone.
Parents install these type of apps on their children's phones in order to
remotely set rules for what the children can do with their device and to monitor
where the phone is and what their kids are using it for.
These type of applications are highly intrusive, because they gather all kinds of
data that re
ect private information about the users, such as their Internet history,
text messages, calls, location. . . Furthermore, these data are often sent to servers
hosted in the Internet, where the information is gathered in order to let the parent
access it later from a different device than their child's phone.
Therefore, these systems make it possible (willingly or not) for third parties
to access all or parts of these private data. From a privacy stand point, these
applications pose a great threat to users. However, there has not yet been a study
on the amount and kind of information that these apps gather and the security of
their communications.
In this thesis, we study how parental control apps behave, and the features that
they provide the user with, and we conduct several studies to understand their
privacy implications. First, we research how well these applications explain their
behavior and operation to their users. Second we gather information about the
permissions that these apps request and compare them to their behavior. Third
we study what information is gathered and later sent to Internet servers by these
programs. Finally, we investigate if this information is sent securely.
We studied fourteen different parental control applications, anyhow we only could
perform all of the studies explained above in seven of them. In each one of those
seven apps we find at least one of these privacy issues: the sending of sensitive
information to third parties, the leakage of private data from before the parental
control app installation, the sending of private information before the user agrees
with the term of usage (sometimes even the fact that the user never agrees to it),
or the sending of private data via an insecure communication channel. We also find
that 50% of the fourteen studied applications did not clearly explain to the user
that their children's data was being sent through the Internet and stored in servers.
Finally, we categorize 15% of the requested permissions in eleven of the fourteen
applications as confusing and probably unnecessary.---ABSTRACT---Las aplicaciones de control parental son un tipo de programas software para teléfonos
móviles, usados por los padres para motorizar y controlar el uso que hacen sus hijos
de sus teléfonos. Los padres instalan este tipo de apps en los teléfonos de los hijos,
pudiendo así establecer reglas para establecer el uso que pueden hacer los hijos de
sus teléfonos y monitorizar de manera remota la localización del teléfono y qué uso
están haciendo los niños su teléfono.
Este tipo de aplicaciones son altamente intrusivas, ya que recogen una gran cantidad
de datos que re
ejan información privada sobre los usuarios, como su historial
web, mensajes de texto, llamadas, localización. . . Además, estos datos suelen ser enviados
a servidores localizados en Internet donde la información se guarda para que
los padres puedan acceder después a esta información de manera remota, desde un
dispositivo distinto al teléfono de su hijo.
Por lo tanto, estos sistemas comprometen (de manera intencionada o no) esta
información, de modo que otros agentes podrían acceder a todos o parte de estos
datos privados. Desde el punto de vista de la privacidad, estas aplicaciones representan
una gran amenaza para los usuarios. Sin embargo, todavía no ha habido
ningún estudio sobre la información que dichas aplicaciones recogen y la seguridad
de las mismas.
En esta tesis estudiamos como se comportan este tipo de programas y las funcionalidades
que le presentan al usuario. También realizamos diferentes estudios
para conocer las implicaciones de privacidad de las aplicaciones de control parental.
Primero, analizamos cómo de claro explican estas aplicaciones su modelo de funcionamiento,
segundo recogemos información sobre los permisos que solicitan las
aplicaciones que analizamos, tercero estudiamos qué información es recolectada y
enviada a servidores de Internet por parte de estos programas y cuarto, investigamos
si esta información es enviada de una forma segura.
Estudiamos catorce aplicaciones de control parental, en el caso de siete de estas
realizando cada uno de los estudios arriba explicados. En cada una de estas siete
aplicaciones descubrimos al menos uno de los siguientes problemas de privacidad: el
envío de información especialmente sensible a terceros, el filtrado de datos privados
anteriores a la instalación de la aplicación de control parental, el envío de información
privada antes de que el usuario acepte los términos de uso (incluso el hecho de que
el usuario nunca llegue a aceptar este acuerdo) y el envío de datos confidenciales a
través de canales de comunicación inseguros. También encontramos que el 50% de
las catorce aplicaciones analizadas no explican de una manera clara para el usuario
que los datos de su hijo son enviados a través de Internet y guardados en servidores.
Por último, categorizamos el 15% de los permisos solicitados por once de las catorce
aplicaciones del estudio como confusos y probablemente innecesarios.