Un grupo de investigadores de seguridad dice que docenas de aplicaciones populares de iPhone están compartiendo silenciosamente los datos de ubicación de “decenas de millones de dispositivos móviles” con firmas de monetización de datos de terceros.
Casi todos requieren acceso a los datos de ubicación de un usuario para funcionar correctamente, como las aplicaciones meteorológicas y de fitness, pero comparten esos datos a menudo como una forma de generar ingresos para las aplicaciones de descarga gratuita.
En muchos casos, las aplicaciones envían ubicaciones precisas y otros datos sensibles e identificables “en todo momento, constantemente” y, a menudo, “con poca o ninguna mención” de que los datos de ubicación se compartirán con terceros, dicen los investigadores de seguridad. en el proyecto GuardianApp.
“Creo que las personas deberían poder usar cualquier aplicación que deseen en su teléfono sin temor a que otorgar acceso a datos confidenciales pueda significar que estos datos se enviarán silenciosamente a alguna entidad que no conocen y que no desean hacer. negocios con ”, dijo Will Strafach, uno de los investigadores.
Usando herramientas para monitorear el tráfico de la red, los investigadores encontraron 24 aplicaciones populares de iPhone que estaban recopilando datos de ubicación, como balizas Bluetooth para nombres de redes Wi-Fi, para saber dónde está una persona y dónde visita. Estas empresas de monetización de datos también recopilan otros datos de dispositivos del acelerómetro, el estado de carga de la batería y los nombres de la red celular.
A cambio de datos, a menudo estas empresas de datos pagan a los desarrolladores de aplicaciones para que recopilen datos y hagan crecer sus bases de datos y, a menudo, para que entreguen anuncios basados en el historial de ubicación de una persona.
Pero aunque muchos afirman que no recopilan información de identificación personal, Strafach dijo que las coordenadas de latitud y longitud pueden ubicar a una persona en una casa o en su trabajo.
Para nombrar unos pocos:
ASKfm, una aplicación anónima de preguntas y respuestas centrada en adolescentes, tiene 1.400 calificaciones en la App Store de Apple y promociona a decenas de millones de usuarios. Solicita acceso a la ubicación de un usuario que “no se compartirá con nadie”. Pero la aplicación envía esos datos de ubicación a dos empresas de datos, AreaMetrics y Huq. Cuando llegó, el fabricante de la aplicación dijo que cree que sus prácticas de recopilación de ubicaciones “se ajustan a los estándares de la industria y, por lo tanto, son aceptables para nuestros usuarios”.
Radar meteorológico NOAA tiene más de 266.000 reseñas y tiene millones de descargas. El acceso a su ubicación “se utiliza para proporcionar información meteorológica”. Pero una versión anterior de la aplicación de marzo enviaba datos de ubicación a tres empresas, Factual, Sense360 y Teemo. Desde entonces, el código ha sido eliminado. Un portavoz de Apalon, que creó la aplicación, dijo que “realizó una prueba breve y limitada con algunos de estos proveedores” a principios de este año.
Homes.com es una aplicación popular que te pide que enciendas tu ubicación para ayudar a “encontrar casas cercanas”. Pero el código, que se cree que es un código antiguo, aún envía coordenadas precisas a AreaMetrics. El fabricante de la aplicación dijo que usó AreaMetrics “por un período corto” el año pasado, pero dijo que el código estaba desactivado.
Perfecto365, una aplicación de belleza de realidad aumentada con más de 100 millones de usuarios, solicita la ubicación para “personalizar su experiencia en función de su ubicación y más”, y refiere a los usuarios a la política de privacidad para obtener más información, lo que establece que los datos de ubicación se utilizarán para publicidad. La aplicación se retiró brevemente después de una historia de BuzzFeed News a principios de este año reveló a los investigadores, pero regresó a la tienda de aplicaciones días después. La versión actual de la aplicación contiene código para ocho empresas independientes de monetización de datos en la última versión de la aplicación. El creador de la aplicación no respondió una solicitud de comentarios.
Y la lista continúa, incluidas más de cien aplicaciones meteorológicas y de noticias locales propiedad de Sinclair, que comparten datos de ubicación con Reveal, una empresa de seguimiento de datos y monetización. que dice la empresa ayudará al gigante de los medios a impulsar sus ventas al “proporcionar a los anunciantes audiencias objetivo”.
Eso puede convertirse rápidamente en un negocio lucrativo para los desarrolladores con aplicaciones populares y empresas de monetización por igual, algunas de las cuales recopilan miles de millones de ubicaciones cada día.
La mayoría de las empresas de monetización de datos niegan cualquier irregularidad y dicen que los usuarios pueden optar por no participar en cualquier momento. La mayoría dijo que exigen que los fabricantes de aplicaciones declaren explícitamente que requieren que los desarrolladores de aplicaciones declaren explícitamente que están recopilando y enviando datos a empresas de terceros.
La investigación del equipo muestra que esos requisitos casi nunca se verifican.
Reveal dijo que requiere que los clientes “indiquen los casos de uso de los datos de ubicación en su política de privacidad” y que los usuarios pueden optar por no participar en cualquier momento. Huq, al igual que Reveal, dijo que lleva a cabo “controles periódicos en las aplicaciones de nuestros socios para asegurarse de que hayan implementado” medidas que explican los servicios de la compañía. AreaMetrics, que recopila principalmente datos de balizas Bluetooth de áreas públicas como cafeterías y tiendas minoristas, dice que “no tiene interés” en recibir datos personales de los usuarios.
Sense360 dijo que los datos que recopila son anónimos y requieren que las aplicaciones obtengan el consentimiento explícito de sus usuarios, pero Strafach dijo que pocas aplicaciones que ha visto contienen texto que busca garantías. Pero la compañía no respondió una pregunta específica de por qué ya no funciona con ciertas aplicaciones. Wireless Registry dijo que también requiere que las aplicaciones busquen el consentimiento de los usuarios, pero no comenta sobre las medidas de seguridad que utiliza para garantizar la privacidad del usuario. Y en comentarios, inMarket dijo que sigue los estándares y pautas publicitarias.
Cuebiq afirma utilizar un “método de criptografía avanzada” para almacenar y transmitir datos, pero Strafach dijo que no encontró “evidencia” de que los datos fueran codificados. Dice que no es un “rastreador”, pero dice que si bien algunos desarrolladores de aplicaciones buscan monetizar los datos de los usuarios, se dice que la mayoría los usa para obtener información. Y, Factual dijo que usa datos de ubicación para publicidad y análisis, pero debe obtener el consentimiento de los usuarios dentro de la aplicación.
Cuando fue contactado, Teemo no respondió nuestras preguntas. SafeGraph, Mobiquity y Fysical no respondieron a las solicitudes de comentarios.
“Ninguna de estas empresas parece ser legalmente responsable de sus reclamos y prácticas, en cambio, existe algún tipo de autorregulación que afirman hacer cumplir”, dijo Strafach.
Dijo que no hay mucho que los usuarios puedan hacer, pero limitar el seguimiento de anuncios en la configuración de privacidad de su iPhone puede dificultar que los rastreadores de ubicación identifiquen a los usuarios.
La represión de Apple contra las aplicaciones que no tienen políticas de privacidad comenzará el próximo mes. Pero dada la poca gente que los lee en primer lugar, no espere que las aplicaciones cambien su comportamiento pronto.
Source link