Cuando se trata de aplicaciones, Android lidera el grupo con casi 3 millones de aplicaciones en su tienda oficial de Google Play. El gran volumen también significa que, a veces, las aplicaciones dudosas se escabullen.
Investigadores del International Digital Accountability Council (IDAC), un organismo de control sin fines de lucro con sede en Boston, encontraron que recientemente se descubrió que un trío de aplicaciones populares y aparentemente inocentes dirigidas a usuarios más jóvenes violaban las políticas de recopilación de datos de Google, lo que podría acceder Los números de ID de Android y AAID (ID de publicidad de Android) de los usuarios, con la fuga de datos potencialmente relacionada con las aplicaciones que se están construyendo utilizando SDK de Unity, Umeng y Appodeal.
En conjunto, las aplicaciones tuvieron más de 20 millones de descargas entre ellas.
Las tres aplicaciones en cuestión, Princess Salon, Number Coloring y Cats & Cosplay, ahora se han eliminado de la tienda de aplicaciones de Google Play, como puede ver en los enlaces de arriba. Google nos confirmó que eliminó las aplicaciones después de que IDAC le informara sobre las violaciones.
“Podemos confirmar que las aplicaciones a las que se hace referencia en el informe se eliminaron”, dijo un portavoz de Google. “Siempre que encontramos una aplicación que infringe nuestras políticas, actuamos”.
Las violaciones apuntan a una preocupación más amplia con el enfoque de los tres editores para adherirse a las políticas de protección de datos. “Las prácticas que observamos en nuestra investigación suscitaron serias preocupaciones sobre las prácticas de datos dentro de estas aplicaciones”, dijo el presidente de IDAC, Quentin Palfrey.
El incidente se destaca en un momento en el que se está prestando mucha atención a Google y al tamaño de su operación. A principios de esta semana, el Departamento de Justicia de EE. UU. Y 11 estados demandaron a la compañía, acusándola de comportamiento monopolístico y anticompetitivo en búsquedas y publicidad en búsquedas.
Para ser claros, las violaciones de aplicaciones aquí no están relacionadas con la búsqueda, pero subrayan la escala de la operación de Google y cómo incluso pequeños descuidos pueden llevar a que decenas de millones de usuarios se vean afectados. También sirven como un recordatorio de los desafíos de vigilar de manera proactiva las violaciones individuales en tal escala, y que esos desafíos pueden aterrizar en un área particularmente peligrosa: cómo los menores usan las aplicaciones.
Al menos en los casos de dos de los editores, Creative APPS y Libii Tech (cuyas aplicaciones se basan en el elenco de personajes ilustrados en la parte superior de esta historia), otras aplicaciones aún están activas. Y también parece que las versiones de las aplicaciones también se pueden descargar a través de sitios de APK (como este). También hay versiones en iOS (por ejemplo aquí), pero Palfrey dijo que no había evaluado las versiones de iOS, por lo que no está claro si están filtrando datos de manera similar.
La infracción en este caso es compleja, pero es un ejemplo de una de las formas en que los usuarios pueden ser rastreados sin saberlo a través de aplicaciones.
Señalando la actividad detrás de escena y el procesamiento de datos que se cargan en aplicaciones de apariencia inocente, IDAC destacó tres SDK utilizados en particular por los desarrolladores de aplicaciones: Unity 3D y motor de juegos, Umeng (un proveedor de análisis propiedad de Alibaba conocido como “Flurry of China” que algunos han descrito también como un proveedor de adware) y Appodeal (otro proveedor de análisis y monetización de aplicaciones), como la fuente de los problemas.
Palfrey explicó que el problema radica en cómo los datos a los que las aplicaciones pudieron acceder a través de los SDK podrían vincularse con otros tipos de datos, como la información de geolocalización. “Si la información de AAID se transmite junto con un identificador persistente [such as Android ID] es posible que se superen las medidas de protección que Google pone en marcha para la protección de la privacidad ”, dijo.
IDAC no especificó las violaciones en todos los SDK, pero señaló en un ejemplo que ciertas versiones del SDK de Unity recopilaban tanto el AAID del usuario como el ID de Android simultáneamente, y eso podría haber permitido a los desarrolladores “evitar los controles de privacidad y rastrear a los usuarios a lo largo del tiempo y en todos los dispositivos “.
IDAC describe el AAID como “el pasaporte para agregar todos los datos sobre un usuario en un solo lugar”. Permite a los anunciantes orientar anuncios a los usuarios en función de las señales de las preferencias que pueda tener un usuario. Los usuarios pueden restablecer el AAID. Sin embargo, si un SDK también proporciona un enlace al ID de Android de un usuario, que es un número estático, comienza a crear un “puente” para identificar y rastrear a un usuario.
Palfrey no fue demasiado específico sobre si podría determinar cuántos datos se extrajeron realmente como resultado de las violaciones que identificó, pero Google dijo que continuaba trabajando en asociaciones y procedimientos para atrapar a actores maliciosos similares (intencionales o de otro tipo). .
“Un ejemplo del trabajo que estamos haciendo aquí es el programa de certificación de anuncios de Familias, que anunciamos en 2019”, dijo el vocero. “Para las aplicaciones que deseen publicar anuncios en aplicaciones para niños y familias, les pedimos que utilicen solo SDK de anuncios que tengan un cumplimiento autocertificado de las políticas para niños / familias. También exigimos que las aplicaciones dirigidas únicamente a niños no contengan API o SDK que no estén aprobados para su uso en servicios dirigidos a niños “.
IDAC, que se lanzó en abril de 2020 como un spin-off del Future of Privacy Forum, también ha llevado a cabo investigaciones sobre violaciones de privacidad de datos en aplicaciones de fertilidad y rastreadores Covid-19, y a principios de esta semana también publicó hallazgos sobre la fuga de datos de un antiguo versión del SDK de MoPub de Twitter que afecta a millones de usuarios.
Source link