Cómo las aplicaciones te espían en secreto con rastreadores de terceros

En el momento en que instalas una aplicación, comienza a hurgar y a molestarte para obtener tus datos. Solicita permisos para acceder a las partes internas de su teléfono, le pide que registre un puñado de información personal; ya conoce el procedimiento.

Contenido

  • Perjuicio a la privacidad
  • Datos personales extraídos
  • Información clave enterrada

Sin embargo, no importa cuán frugal y atento seas en cada paso, todavía hay una forma en que la mayoría de las aplicaciones terminan extrayendo tus datos de manera encubierta.

Cada aplicación viene empaquetada con una variedad de lo que técnicamente se denominan kits de desarrollo de software (SDK). Para comprenderlos mejor, piense en una aplicación como una casa de Lego: cada bloque actúa como un único módulo clave.

Relacionado

  • Microsoft Defender finalmente parece un software antivirus adecuado para individuos
  • 6 cosas que no sabías que podía hacer tu Mac
  • Apple podría poner fin a los problemas antimonopolio haciendo que la App Store de iOS se parezca más a la de Mac
Julian Chokkattu/Tendencias digitales

Los desarrolladores programan los bloques que son exclusivos de sus aplicaciones, como su diseño y funciones. Pero componentes como la publicidad y el análisis no suelen crearse internamente. Para ello recurren a terceros que ya ofrecen estos servicios. Todo lo que los desarrolladores deben hacer es conectarlos a sus aplicaciones.

Los SDK se diseñaron, como puede suponer, para acelerar el desarrollo y eliminar esfuerzos redundantes. Pero últimamente, estas pequeñas entidades se han convertido en lagunas jurídicas críticas en nuestra búsqueda de la privacidad, ya que las empresas han abusado de ellas para desviar datos personales de los usuarios incluso cuando se supone que no deberían hacerlo.

Los SDK han evolucionado como lagunas en nuestra privacidad a medida que las empresas han abusado de ellos para desviar datos personales de los usuarios incluso cuando se supone que no deben hacerlo.

Perjuicio a la privacidad

Un estudio de la Universidad de Oxford descubrió que casi un tercio de todas las aplicaciones en Play Store estaban vinculadas a al menos 10 SDK de terceros y uno de cada cinco compartían datos de usuario con hasta 20 SDK. Esa cifra aumenta exponencialmente en las aplicaciones gratuitas a gran escala. Por ejemplo, según Poderosa señal, una empresa de inteligencia móvil, Tinder está conectado a la asombrosa cifra de 51 SDK, Airbnb tiene 41 y ESPN tiene 40.

La mayoría de los SDK recopilan datos que normalmente no se considerarían significativos. Realizan un seguimiento de lo que tocas dentro de una aplicación, las áreas en las que pasas la mayor parte del tiempo, con qué anuncios interactúas y más. Pero esta práctica aparentemente inofensiva puede ser críticamente perjudicial para su privacidad cuando observa cómo todos esos datos encajan en el panorama más amplio.

El estudio de Oxford también reveló que el 88% de las aplicaciones investigadas podrían transmitir datos a empresas que en última instancia son propiedad de Alphabet (la matriz de Google) y el 43% a servicios propiedad de Facebook.

Empresas como Facebook y Google ya sabe bastante sobre usted y al acceder a cientos de miles de aplicaciones A través de los SDK, pueden ajustar su perfil digital en su base de datos y ofrecerle servicios específicos. anuncios. Por ejemplo, si está embarazada y ha instalado una aplicación relacionada con el embarazo, Google o Facebook pueden comenzar a mostrarle anuncios de productos para bebés basados ​​en esta nueva información.

Visualización del SDKRufana Rahimova/Getty Images

Datos personales extraídos

Los desarrolladores tienden a justificar todos estos SDK afirmando que los datos se mantienen anónimos y que la información personal, como su número de teléfono, nunca se comparte.

Pero, en realidad, las grandes empresas tienen la capacidad de vincular incluso el más mínimo dato a su perfil digital. Es posible que la aplicación no le diga al SDK su nombre o dirección de correo electrónico, pero las empresas de tecnología pueden descubrirlo por sí mismas al procesarlo de forma cruzada con su conocimiento existente.

Las aplicaciones no siempre comparten únicamente datos anónimos con los SDK. Roman Unuchek, investigador de Kaspersky Lab encontró 4 millones Androide Las aplicaciones enviaban datos de perfil de usuario no cifrados (incluidos nombres, ingresos, números de teléfono, direcciones de correo electrónico y, en un ejemplo, coordenadas GPS) a los servidores de los anunciantes.

Hace unas pocas semanas, una investigación de la Electronic Frontier Foundation (EFF) descubrió que cuatro empresas de análisis y marketing estaban acumulando información como nombres, Direcciones IP privadas, operadores de redes móviles, identificadores persistentes y datos de sensores de Amazon. Aplicación de timbre.

Dos de los SDK destacados por la EFF (Appsflyer y Facebook Graph) se pueden encontrar en una multitud de aplicaciones, y los expertos dicen que es probable que también estén recopilando un conjunto similar de datos de otras aplicaciones.

En un comunicado, un portavoz de Appsflyer dijo que la empresa no es un intermediario de datos y “no crea objetivos perfiles, no vende datos y no utiliza los datos personales de ningún usuario de la aplicación para sus propios fines”.

Es posible que la aplicación no le diga al SDK su nombre o dirección de correo electrónico, pero las empresas de tecnología pueden descubrirlo por sí mismas al procesarlo de forma cruzada con su conocimiento existente.

“Algunas empresas de análisis dan a los desarrolladores de aplicaciones un control preciso sobre la información que se entrega, pero parece una buena suposición que otras aplicaciones "Darán una cantidad similar de datos confidenciales si incluyen estas mismas bibliotecas", dijo a Digital William Budington, autor de la investigación de la EFF. Tendencias.

Muchos SDK que actualmente desempeñan un papel indispensable en el desarrollo de aplicaciones no suelen indicar claramente cómo manejan los datos de los usuarios. En algunos casos, los desarrolladores pasan por alto y omiten comprobar cómo funciona un SDK, poniendo en riesgo la seguridad del usuario.

“Desafortunadamente, es posible que la mayoría de los desarrolladores no sepan… cuán intrusivo puede ser un SDK determinado al crear su propio software, mientras que los usuarios desconocen por completo su conocimiento. el hecho de que, cuando se ejecuta una aplicación móvil, puede haber docenas de otras organizaciones que potencialmente recopilan datos personales y confidenciales”, dijo Narseo Vallina-Rodríguez, científica investigadora de la división de Redes y Seguridad del Instituto Internacional de Ciencias de la Computación y miembro del equipo que desarrollado Lúmenes, una aplicación que monitores a qué SDK está transmitiendo datos su teléfono.

Información clave enterrada

Otro cuello de botella que ha permitido que los SDK se vuelvan locos es que su consentimiento generalmente está enterrado en lo más profundo de la Política de privacidad de una aplicación y, muchas veces, los desarrolladores no subrayan explícitamente lo que los usuarios ofrecen arriba. Además, la configuración de seguridad de la aplicación no se aplica a los SDK de terceros, lo que deja a las personas pocas o ninguna opción.

“De hecho, hay evidencia que demuestra que lo que muchas aplicaciones informan sobre sus políticas de privacidad ofrece una imagen incompleta de su tiempo de ejecución real y comportamientos de recopilación de datos”, agregó Narseo Vallina Rodríguez.

Hasta Android 10, Los SDK podrían incluso compartir permisos entre dos aplicaciones no relacionadas. Por lo tanto, digamos que la aplicación A tiene permiso de ubicación y B no, y ambas vienen equipadas con el mismo SDK, existe una buena posibilidad de que B pueda alimentarse del permiso de ubicación de A y recopilar sus datos de GPS.

A diferencia de los navegadores, tampoco puedes simplemente bloquear los rastreadores de aplicaciones. Su única opción es revisar la configuración de una aplicación y asegurarse de desmarcar la casilla Recopilar datos para el análisis. casilla si la hay.

Genevieve Poblano/Tendencias Digitales

También puedes comenzar a usar aplicaciones web en tu teléfono a través de tu navegador, lo que te permite bloquear rastreadores con las herramientas integradas del navegador. La mayoría de las aplicaciones líderes como Instagram y Tinder ofrecen aplicaciones web comparables que en gran medida se comportan como aplicaciones móviles normales. En el proceso, también ahorrará una tonelada de almacenamiento y RAM.

Su privacidad es tan sólida como el eslabón más débil de toda la cadena de aplicaciones y, en los teléfonos, ese eslabón es un SDK. Y desafortunadamente, no puedes hacer nada al respecto más que cambiar a aplicaciones que prometen más seguridad para tus datos. Con suerte, en las futuras versiones de Android e iOS, Google y Apple introducirán mejores protecciones contra rastreadores de terceros.

Recomendaciones de los editores

  • Esta tortuosa aplicación fraudulenta demuestra que las Mac no son a prueba de balas
  • El chip M1 de Apple tiene un defecto, pero no debes preocuparte
  • Estas aplicaciones utilizan A.I. para automatizar tu vida y ahorrarte tiempo
  • Microsoft actualiza sus aplicaciones Outlook para mejorar el trabajo fuera de horario
  • La nueva aplicación Office de Microsoft insinúa el potencial de Surface Duo