Cientos de Android Las aplicaciones, mucho más de lo que se reveló anteriormente, han enviado datos granulares de ubicación de usuarios a X-Mode, un agente de datos conocido por vender datos de ubicación a contratistas militares de EE. UU.
Las aplicaciones incluyen aplicaciones de mensajería, un convertidor de archivos y videos gratuito, varios sitios de citas y aplicaciones de religión y oración, cada una de las cuales representa decenas de millones de descargas hasta la fecha, según una nueva investigación.
Sean O’Brien, investigador principal de ExpressVPN Digital Security Lab, y Esther Onfroy, cofundadora de Defensive Lab Agency, encontraron cerca de 200 aplicaciones de Android que en algún momento del año pasado contenían código de seguimiento X-Mode.
Algunas de las aplicaciones seguían enviando datos de ubicación a X-Mode en diciembre, cuando Apple y Google les dijeron a los desarrolladores que eliminaran X-Mode de sus aplicaciones o enfrentaran una prohibición de las tiendas de aplicaciones.
Pero semanas después de que la prohibición entrara en vigencia, una popular aplicación de mapas de tránsito de EE. UU. Que se había instalado cientos de miles de veces todavía se podía descargar de Google Play a pesar de que todavía enviaba datos de ubicación a X-Mode.
Se cree que la nueva investigación, ahora publicada, es la revisión más amplia hasta la fecha de las aplicaciones que colaboran con X-Mode, una de las docenas de empresas en una industria multimillonaria que compra y vende acceso a los datos de ubicación recopilados de aplicaciones telefónicas comunes. , a menudo con el fin de ofrecer publicidad dirigida.
Pero X-Mode se ha enfrentado a un mayor escrutinio por sus conexiones con el trabajo del gobierno, en medio de nuevos informes de que la inteligencia de EE. UU. Compró acceso a datos de ubicación comercial para buscar movimientos pasados de estadounidenses sin obtener primero una orden judicial.
X-Mode les paga a los desarrolladores de aplicaciones para que incluyan su código de seguimiento, conocido como kit de desarrollo de software o SDK, a cambio de recopilar y entregar los datos de ubicación del usuario. Los usuarios optan por este seguimiento al aceptar los términos de uso y las políticas de privacidad de la aplicación. Pero no todas las aplicaciones que usan X-Mode revelan a sus usuarios que sus datos de ubicación pueden terminar en el corredor de datos o se venden a contratistas militares.
Los vínculos de X-Mode con contratistas militares (y por extensión con el ejército de EE. UU.) Fueron revelados por primera vez por Motherboard, que informó por primera vez que una aplicación de oración popular con más de 98 millones de descargas en todo el mundo envió datos de movimiento granulares a X-Mode.
En noviembre, Motherboard descubrió que otra aplicación de oración musulmana no reportada anteriormente llamada Qibla Compass envió datos a X-Mode. Los hallazgos de O’Brien corroboran eso y también señalan que varias aplicaciones más centradas en musulmanes contienen X-Mode. Al realizar un análisis del tráfico de la red, Motherboard verificó que al menos tres de esas aplicaciones en algún momento enviaron datos de ubicación a X-Mode, aunque ninguna de las versiones actualmente en Google Play lo hace. Puedes leer la historia completa de Motherboard aquí.
El director ejecutivo de X-Mode, Josh Anton, le dijo a CNN el año pasado que el corredor de datos rastrea 25 millones de dispositivos en los EE. UU. Y le dijo a Motherboard que su SDK se había utilizado en unas 400 aplicaciones.
En una declaración a TechCrunch, Anton dijo:
“La prohibición del SDK de X-Mode tiene implicaciones más amplias en el ecosistema considerando que X-Mode recopiló datos de aplicaciones móviles similares a los de la mayoría de los SDK de publicidad. Apple y Google han sentado el precedente de que pueden determinar la capacidad de las empresas privadas para recopilar y usar datos de aplicaciones móviles incluso cuando la mayoría de nuestros editores tenían un consentimiento secundario para la recopilación y el uso de datos de ubicación.
Recientemente, enviamos una carta a Apple y Google para comprender cómo podemos resolver mejor este problema juntos para que ambos podamos continuar utilizando datos de ubicación para salvar vidas y continuar impulsando la capacidad de las comunidades tecnológicas para crear productos basados en la ubicación. Creemos que es importante garantizar que Apple y Google mantengan X-Mode con el mismo estándar que ellos mismos cuando se trata de la recopilación y el uso de datos de ubicación “.
Los investigadores también publicaron nuevos puntos finales con los que se sabe que las aplicaciones que usan el SDK de X-Mode se comunican, lo que O’Brien dijo que esperaba que ayudara a otros a descubrir qué aplicaciones están enviando, o han enviado históricamente, los datos de ubicación de los usuarios a X-Mode.
“Esperamos que los consumidores puedan identificar si son el objetivo de uno de estos rastreadores de ubicación y, lo que es más importante, exigir que termine este espionaje. Queremos que los investigadores se basen en nuestros hallazgos en el interés público, ayudando a arrojar luz sobre estas amenazas a la privacidad, la seguridad y los derechos ”, dijo O’Brien.
TechCrunch analizó el tráfico de red en aproximadamente dos docenas de las aplicaciones de Android más descargadas en los hallazgos de los investigadores para buscar aplicaciones que se comunicaran con cualquiera de los puntos finales X-Mode conocidos, y confirmó que varias de las aplicaciones estaban enviando en algún momento datos de ubicación a X-Mode.
También utilizamos los puntos finales identificados por los investigadores para buscar otras aplicaciones populares que pueden haberse comunicado con X-Mode.
Al menos una aplicación identificada por TechCrunch pasó por alto la prohibición de la tienda de aplicaciones de Google.
Metro de Nueva York en Google Play., Hasta que Google lo eliminó. (Imagen: TechCrunch)
New York Subway, una aplicación popular para navegar por el sistema de metro de la ciudad de Nueva York que se ha descargado 250.000 veces, según los datos proporcionados por Sensor Tower, todavía figuraba en Google Play a partir de esta semana. Pero la aplicación, que no se había actualizado desde que se implementaron las prohibiciones de la tienda de aplicaciones, seguía enviando datos de ubicación a X-Mode.
Tan pronto como se carga la aplicación, una pantalla de inicio solicita inmediatamente el consentimiento del usuario para enviar datos a X-Mode para anuncios, análisis e investigación de mercado, pero la aplicación no mencionó el trabajo gubernamental de X-Mode.
Desoline, el fabricante de aplicaciones con sede en Israel, no respondió a múltiples solicitudes de comentarios, pero eliminó las referencias a X-Mode de su política de privacidad poco después de que nos comunicamos. En el momento de redactar este artículo, la aplicación no ha vuelto a Google Play.
Un portavoz de Google confirmó que la empresa eliminó la aplicación de Google Play.
Utilizando la lista de aplicaciones de los investigadores, TechCrunch también descubrió que las versiones anteriores de dos aplicaciones muy populares, Moco y Video MP3 Converter, que representan más de 115 millones de descargas hasta la fecha, siguen enviando datos de ubicación del usuario a X-Mode. Eso representa un riesgo de privacidad para los usuarios que instalan aplicaciones de Android desde fuera de Google Play y para aquellos que ejecutan aplicaciones más antiguas que aún envían datos a X-Mode.
Ningún fabricante de aplicaciones respondió a una solicitud de comentarios. Google no dijo si había eliminado otras aplicaciones por violaciones similares o qué medidas tomaría, si las hubiera, para proteger a los usuarios que ejecutan versiones anteriores de aplicaciones que aún envían datos de ubicación a X-Mode.
Ninguna de las aplicaciones correspondientes y homónimas para iOS de Apple que probamos pareció comunicarse con los puntos finales de X-Mode. Cuando se le comunicó, Apple se negó a decir si había bloqueado alguna aplicación después de que la prohibición entró en vigencia.
“Los sensores de los teléfonos inteligentes proporcionan datos valiosos que pueden explotarse para limitar nuestros movimientos, nuestra libre expresión y nuestra autonomía”, dijo O’Brien. “El espionaje de ubicaciones representa una seria amenaza para los derechos humanos porque se adentra en los aspectos más sensibles de nuestras vidas y con quién nos asociamos”.
Es probable que la investigación recientemente publicada traiga un nuevo escrutinio sobre cómo las aplicaciones de teléfonos inteligentes ordinarios recolectan y venden grandes cantidades de datos personales de millones de estadounidenses, a menudo sin el consentimiento explícito del usuario.
Varias agencias federales, incluido el Servicio de Impuestos Internos y Seguridad Nacional, están siendo investigadas por organismos de control del gobierno por comprar y usar datos de ubicación de varios corredores de datos sin obtener primero una orden judicial. La semana pasada se supo que los analistas de inteligencia de la Agencia de Inteligencia de Defensa compran acceso a bases de datos comerciales de datos de ubicación de los estadounidenses.
Los críticos dicen que el gobierno está explotando una laguna en un fallo de la Corte Suprema de 2018, que impidió que las fuerzas del orden obtuvieran datos de ubicación de teléfonos celulares directamente de los operadores celulares sin una orden judicial.
Ahora el gobierno dice que no cree que necesite una orden judicial por lo que puede comprar directamente a los corredores.
El senador Ron Wyden, un crítico de la privacidad cuya oficina ha estado investigando la industria de los corredores de datos, redactó previamente una legislación que otorgaría a la Comisión Federal de Comercio nuevos poderes para regular y multar a los corredores de datos.
“Los estadounidenses están hartos de saber que los corredores de datos están vendiendo sus datos de ubicación a cualquiera que tenga una tarjeta de crédito. La autorregulación de la industria claramente no está funcionando: el Congreso debe aprobar una legislación estricta, como la ley Mind Your Own Business Act, para brindar a los consumidores herramientas efectivas para evitar que se vendan sus datos y otorgar a la FTC el poder de responsabilizar a las empresas cuando violen La privacidad de los estadounidenses ”, dijo Wyden.
Envíe sugerencias de forma segura a través de Signal y WhatsApp al + 1646-755-8849. También puede enviar archivos o documentos con SecureDrop.
Source link