El CAT Scan

El CAT Scan (Cellular Access Test Scan, ¡miau!) es una herramienta para auditar tu teléfono, para intentar evaluar de forma sencilla qué aplicaciones piden demasiados permisos.

Este CAT Scan es una herramienta que se utiliza en la base de datos del proyecto de código abierto Exodus Privacy,. Esta base muestra en las aplicaciones de Android los trackers integrados y la cantidad y la naturaleza de los permisos necesarios. Más detalles en la página del proyecto εxodus.

Pero, ¿qué hace el CAT Scan?

El objetivo del CAT Scan es que todas informaciones sean más «digeribles». En otras palabras: para saber de una qué aplicaciones requieren demasiados permisos y que probablemente te pueden espiar.

Como todo proceso de simplificación, el TAC tiene sus ventajas e inconvenientes:

  • Su principal cualidad es que es sencillo y fácil de leer. De una, vas a poder hacerte una idea de si una aplicación es intrusiva o no, lo verás basándote en el nutriscore, que está codificado por colores.

  • Su principal defecto es que a veces es simplista. De hecho, a veces dos aplicaciones pueden tener una puntuación similar, mientras que una es intrusiva y la otra requiere muchos permisos, pero de forma justificada (como Signal, por ejemplo).

Fórmula de cálculo

La puntuación del TAC se basa en las siguientes variables

  • cantidad de rastreadores encontrados
  • cantidad de permisos «normales»
  • cantidad de permisos «peligrosos» (según la definición de Google)
  • cantidad total de permisos

Para cada aplicación, se calcula una puntuación de acuerdo con la siguiente fórmula :

[total de premisos] + ( [rastreadores o trackers] x [permisos peligrosos] )

El resultado se clasifica en la siguiente escala:

A - 0-15
B - 16-30
C - 31-50
D - 51-70
E - 70+

Para obtener la puntuación global, se aplica la siguiente fórmula:

SUMA(escores de las aplicaciones) / [cantidad total de aplicaciones]

¿Y por qué no otra fórmula?

La idea de esta fórmula de cálculo fue basarnos en la cantidad total de autorizaciones, y luego ponderar la puntuación en función de las configuraciones que consideramos «peligrosas», osea lograr señalar las aplicaciones donde hay a la vez rastreadores (que revelan un enfoque muy probablemente intrusivo por parte del editor) y las autorizaciones críticas (que permiten manipular datos sensibles, como tu agenda de contactos o tu geolocalización).

Sin embargo, como hemos explicado anteriormente, cada fórmula tiene sus pros y sus contras:

  • El punto fuerte de esta fórmula es que es sencilla y clasifica las aplicaciones eficazmente (después de varios ensayos con otras fórmulas y viendo los resultados con aplicaciones con prácticas de privacidad conocidas).
  • Pero tiene dos puntos debiles.
    • Esta puntuación da una nota demasiado baja a algunas aplicaciones que a priori son de confianza, pero que necesitan un gran número de permisos porque tienen una amplia gama de funciones. Es el caso, por ejemplo, de algunas aplicaciones de mensajería segura como Signal o Element, o, por supuesto, de nuestro propio juego Gao&Blaze. Sin embargo, estas aplicaciones siguen siendo pocas, ya que una gran parte de las aplicaciones actuales son «mono tareas» y sólo tienen una (o unas pocas) funciones principales.
    • Hereda las falencias de Exodus Privacy, es decir, que no podemos estar 100% seguros de que todos los rastreadores han sido realmente detectados.