Nuestros teléfonos móviles pueden revelar mucho sobre nosotros: dónde vivimos y trabajamos; quiénes son nuestros familiares, amigos y conocidos; cómo e incluso qué nos comunicamos con ellos; y nuestros hábitos personales. Con toda la información almacenada en ellos, no es sorprendente que los usuarios de dispositivos móviles tomen medidas para proteger su privacidad, como usar PIN o códigos de acceso para desbloquear sus teléfonos.
La investigación que estamos haciendo nosotros y nuestros colegas identifica y explora una amenaza significativa que la mayoría de la gente extraña: más del 70 por ciento de las aplicaciones de teléfonos inteligentes informan datos personales a compañías de seguimiento de terceros como Google Analytics, Facebook Graph API o Crashlytics.
Cuando las personas instalan una nueva aplicación de Android o iOS, se le pide permiso al usuario antes de acceder a la información personal. En general, esto es positivo. Y parte de la información que estas aplicaciones están recopilando es necesaria para que funcionen correctamente: una aplicación de mapa noNo sería tan útil si no pudiera usar los datos del GPS para obtener una ubicación.
Pero una vez que una aplicación tiene permiso para recopilar esa información, puede compartir sus datos con cualquier persona que el desarrollador de la aplicación quiera, lo que permite a las compañías de terceros rastrear dónde se encuentra, qué tan rápido se mueve y qué está haciendo.
La ayuda y el peligro de las bibliotecas de códigos
Una aplicación no solo recopila datos para usar en el teléfono en sí. Las aplicaciones de mapeo, por ejemplo, envían su ubicación a un servidor administrado por el desarrollador de la aplicación para calcular las direcciones desde donde se encuentra hasta el destino deseado.
La aplicación también puede enviar datos a otros lugares. Al igual que con los sitios web, muchas aplicaciones móviles se escriben combinando varias funciones, precodificadas por otros desarrolladores y compañías, en lo que se llama bibliotecas de terceros. Estas bibliotecas ayudan a los desarrolladores a rastrear la participación del usuario, conectarsecon las redes sociales y gane dinero mostrando anuncios y otras funciones, sin tener que escribirlas desde cero.
Sin embargo, además de su valiosa ayuda, la mayoría de las bibliotecas también recopilan datos confidenciales y los envían a sus servidores en línea, oa otra compañía por completo. Los autores de bibliotecas exitosos pueden desarrollar perfiles digitales detallados de los usuarios. Por ejemplo, una personapodría dar permiso a una aplicación para conocer su ubicación, y otra aplicación para acceder a sus contactos. Estos son inicialmente permisos separados, uno para cada aplicación. Pero si ambas aplicaciones usan la misma biblioteca de terceros y comparten diferentes datos, el desarrollador de la bibliotecapodría unir las piezas juntas.
Los usuarios nunca lo sabrían, porque las aplicaciones no están obligadas a decirles a los usuarios qué bibliotecas de software usan. Y muy pocas aplicaciones hacen públicas sus políticas sobre la privacidad del usuario; si lo hacen, generalmente es en documentos legales largos que ganó una persona normal 't leer, mucho menos entender.
Lumen en desarrollo
Nuestra investigación busca revelar cuántos datos se están recolectando potencialmente sin el conocimiento de los usuarios, y darles a los usuarios más control sobre sus datos. Para tener una idea de qué datos se están recolectando y transmitiendo desde los teléfonos inteligentes de las personas, desarrollamos un Android gratuitoaplicación propia, llamada Lumen Privacy Monitor. Analiza el tráfico que envían las aplicaciones, para informar qué aplicaciones y servicios en línea recopilan activamente datos personales.
Debido a que Lumen se trata de transparencia, un usuario del teléfono puede ver la información que las aplicaciones instaladas recopilan en tiempo real y con quién comparten estos datos. Intentamos mostrar los detalles del comportamiento oculto de las aplicaciones de una manera fácil de entender. Estambién sobre investigación, por lo que preguntamos a los usuarios si nos permitirán recopilar algunos datos sobre lo que Lumen observa que están haciendo sus aplicaciones, pero eso no incluye ningún dato personal o sensible a la privacidad. Este acceso único a los datos nos permiteestudie cómo las aplicaciones móviles recopilan datos personales de los usuarios y con quién comparten datos a una escala sin precedentes.
En particular, Lumen realiza un seguimiento de qué aplicaciones se están ejecutando en los dispositivos de los usuarios, si están enviando datos sensibles a la privacidad desde el teléfono, a qué sitios de Internet envían datos, el protocolo de red que usan y qué tipos de información personalcada aplicación envía a cada sitio. Lumen analiza el tráfico de aplicaciones localmente en el dispositivo y anonimiza estos datos antes de enviárnoslos para su estudio: si Google Maps registra la ubicación GPS de un usuario y envía esa dirección específica a maps.google.com, Lumen le dice anosotros, "Google Maps obtuvo una ubicación GPS y la envió a maps.google.com", no donde realmente está esa persona.
Los rastreadores están en todas partes
Más de 1,600 personas que han usado Lumen desde octubre de 2015 nos permitieron analizar más de 5,000 aplicaciones. Descubrimos 598 sitios de Internet que probablemente rastreen usuarios con fines publicitarios, incluidos servicios de redes sociales como Facebook, grandes compañías de internet como Google y Yahooy compañías de marketing en línea bajo el paraguas de proveedores de servicios de Internet como Verizon Wireless.
Descubrimos que más del 70 por ciento de las aplicaciones que estudiamos estaban conectadas a al menos un rastreador, y el 15 por ciento de ellas a cinco o más rastreadores. Uno de cada cuatro rastreadores recolectaba al menos un identificador de dispositivo único, como el teléfononúmero o su número IMEI único de 15 dígitos específico del dispositivo. Los identificadores únicos son cruciales para los servicios de seguimiento en línea porque pueden conectar diferentes tipos de datos personales proporcionados por diferentes aplicaciones a una sola persona o dispositivo. La mayoría de los usuarios, incluso los que conocen la privacidad,desconocen esas prácticas ocultas.
Más que solo un problema móvil
Rastrear a los usuarios en sus dispositivos móviles es solo parte de un problema mayor. Más de la mitad de los rastreadores de aplicaciones que identificamos también rastrean a los usuarios a través de sitios web. Gracias a esta técnica, llamada rastreo de "dispositivos cruzados", estos servicios pueden construir unperfil mucho más completo de tu personaje en línea.
Y los sitios de seguimiento individuales no son necesariamente independientes de otros. Algunos de ellos son propiedad de la misma entidad corporativa, y otros podrían ser absorbidos en futuras fusiones. Por ejemplo, Alphabet, la empresa matriz de Google, posee varios de los dominios de seguimiento queestudiamos, incluidos Google Analytics, DoubleClick o AdMob, y a través de ellos recopila datos de más del 48 por ciento de las aplicaciones que estudiamos.
Las identidades en línea de los usuarios no están protegidas por las leyes de su país de origen. Encontramos que los datos se envían a través de las fronteras nacionales, a menudo terminan en países con leyes de privacidad cuestionables. Más del 60 por ciento de las conexiones a sitios de seguimiento se realizan a servidores en los EE. UU., Reino Unido, Francia, Singapur, China y Corea del Sur: seis países que han implementado tecnologías de vigilancia masiva. Las agencias gubernamentales en esos lugares podrían tener acceso a estos datos, incluso si los usuarios se encuentran en países con leyes de privacidad más estrictas, como Alemania, Suizao España
Aún más inquietante, hemos observado rastreadores en aplicaciones dirigidas a niños. Al probar 111 aplicaciones para niños en nuestro laboratorio, observamos que 11 de ellas filtraron un identificador único, la dirección MAC, del enrutador Wi-Fi que estaba conectadoA. Esto es un problema, porque es fácil buscar en línea ubicaciones físicas asociadas con direcciones MAC particulares. Recopilar información privada sobre niños, incluyendo su ubicación, cuentas y otros identificadores únicos, potencialmente viola las reglas de la Comisión Federal de Comercio que protegen la privacidad de los niños.
solo una pequeña mirada
Aunque nuestros datos incluyen muchas de las aplicaciones de Android más populares, es una pequeña muestra de usuarios y aplicaciones y, por lo tanto, es probable que sea un pequeño conjunto de todos los rastreadores posibles. Nuestros hallazgos pueden estar simplemente rascando la superficie de lo que probablemente sea unproblema mucho mayor que se extiende a través de jurisdicciones reguladoras, dispositivos y plataformas.
Es difícil saber qué pueden hacer los usuarios al respecto. Bloquear la información confidencial para que no salga del teléfono puede afectar el rendimiento de la aplicación o la experiencia del usuario: una aplicación puede negarse a funcionar si no puede cargar anuncios. En realidad, bloquear anuncios perjudica a los desarrolladores de aplicaciones al negarlesuna fuente de ingresos para respaldar su trabajo en aplicaciones, que generalmente son gratuitas para los usuarios.
Si las personas estuvieran más dispuestas a pagar a los desarrolladores por las aplicaciones, eso podría ayudar, aunque no es una solución completa. Descubrimos que si bien las aplicaciones pagas tienden a contactar menos sitios de rastreo, aún rastrean a los usuarios y se conectan con servicios de rastreo de terceros.
La transparencia, la educación y los marcos regulatorios sólidos son la clave. Los usuarios necesitan saber qué información sobre ellos se está recopilando, por quién y para qué se está utilizando. Solo entonces podemos nosotros como sociedad decidir qué protecciones de privacidad son apropiadas, yponerlos en su lugar. Nuestros hallazgos, y los de muchos otros investigadores, pueden ayudar a cambiar las tornas y rastrear a los rastreadores mismos.
Fuente de la historia :
Materiales proporcionado por Instituto IMDEA Networks . Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :