Un análisis de 10 aplicaciones de Android muy populares encontró lo que los investigadores llaman el intercambio "fuera de control" de información potencialmente sensible con terceros, en algunos casos en una probable violación de las regulaciones de privacidad GDPR de Europa.
Los hallazgos, que fueron publicados en un reporte emitida por el Consejo de Consumidores de Noruega (NCC), impulsó una coalición de nueve grupos defensores del consumidor y de privacidad para recurrir autoridades federales y estatales para investigar. Además, según los informes, Twitter ha arrancado Grindr, una de las aplicaciones detalladas en el estudio, fuera de su red publicitaria.
Las 10 aplicaciones fueron nombradas como rastreadores de salud menstrual Clue y My days; aplicaciones de citas en línea Grindr, Happn, OkCupid y Tinder, la aplicación de belleza Perfect365, la aplicación de religión Muslim: Qibla Finder, el juego My Talking Tom 2 y la aplicación de teclado Wave Keyboard. A la empresa de ciberseguridad Mnemonic se le atribuye la realización de la prueba técnica en las aplicaciones desde junio hasta noviembre de 2019, verificándolas en busca de kits de desarrollo de software integrados (SDK) y otras herramientas de terceros que les permitan registrar datos y compartirlos con socios.
En total, se descubrió que las 10 aplicaciones habían transmitido datos de usuario a al menos 135 terceros únicos que desempeñan un papel en la publicidad o la elaboración de perfiles de comportamiento, todo para ayudar a los especialistas en marketing a optimizar mejor sus esfuerzos de dirigirse a su audiencia ideal. Es posible que muchos usuarios nunca hayan oído hablar de algunas de estas empresas, y mucho menos sepan que están recopilando sus datos, afirma el informe.
A los usuarios de dispositivos móviles se les asignan varios identificadores numéricos únicos, que permiten a los actores de la industria del marketing y la tecnología publicitaria recopilar información, vincularla con estos identificadores y crear perfiles de usuario complejos y precisos con fines publicitarios. Uno de esos identificadores es el ID de publicidad de Android, que permite a las empresas rastrear a los consumidores a través de diferentes servicios. Las 10 aplicaciones transmitieron esta forma de identificador a al menos algunos de sus socios externos: 70 en total.
Solo uno se detuvo allí, Wave Keyboard, mientras que los nueve restantes compartieron información adicional con socios. “Esta información incluía la dirección IP y la ubicación GPS del usuario, atributos personales, incluidos el género y la edad, y diversas actividades del usuario. Dicha información se puede utilizar para rastrear y dirigir a estos usuarios con anuncios, para perfilarlos y para los consumidores como ellos, y para inferir muchos atributos inferidos altamente sensibles, incluida la orientación sexual y las creencias religiosas ”, afirma el informe.
Si bien dicha información es útil para los anunciantes, también podría permitir a las empresas identificar personalmente a los usuarios individuales y vigilarlos, o discriminar a las personas en función de sus atributos. Y si estos datos son filtrados o accedidos por actores malintencionados, los usuarios podrían estar en riesgo de robo de identidad y chantaje, continúa el informe.
Los 135 socios externos de las 10 aplicaciones estudiadas incluyen nombres universalmente conocidos como Facebook, Google y Twitter a través de su plataforma de publicidad de aplicaciones móviles MoPub. También incluye jugadores como Braze, un proveedor de software de automatización de marketing móvil y gestión de relaciones con los clientes; la plataforma de marketing y publicidad móvil AdColony, y el servicio de notificación push móvil OneSignal.
Según el NCC, los investigadores observaron que Grinder enviaba las direcciones IP, edades y géneros de coordenadas GPS de los usuarios a ciertos socios, e información sobre el "tipo de relación" a una empresa en particular: Braze (aunque Braze no recibió el ID de publicidad de Android de los usuarios). ).
“La subsidiaria de adtech de Twitter, MoPub, se usó como mediador para gran parte de este intercambio de datos y se observó que pasaba datos personales a otros terceros publicitarios, incluidas las principales empresas de adtech AppNexus y OpenX”, señala el informe. "Muchos de estos terceros se reservan el derecho de compartir los datos que recopilan con una gran cantidad de socios".
Poco después de que se publicara el informe de NCC, Twitter suspendió la cuenta MoPub de Grindr y proporcionó esta declaración a varios medios de comunicación puntos de venta: “Actualmente estamos investigando este problema para comprender la suficiencia del mecanismo de consentimiento de Grindr. Mientras tanto, hemos desactivado la cuenta MoPub de Grindr ".
También se descubrió que la aplicación de citas Tinder envía la posición GPS y el "género objetivo" a algunos de sus socios. Mientras tanto, OkCupid compartió datos proporcionados por los usuarios sobre sexualidad, uso de drogas, opiniones políticas y más a Braze.
“Con el funcionamiento actual de la industria de la tecnología publicitaria, los datos personales se transmiten y difunden con pocas restricciones. La multitud de violaciones de los derechos fundamentales se están produciendo a un ritmo de miles de millones de veces por segundo, todo en nombre de la publicidad dirigida y de perfiles. Es hora de un debate serio sobre si los sistemas de publicidad basados en la vigilancia que se han apoderado de Internet, y que son impulsores económicos de la desinformación en línea, son una compensación justa por la posibilidad de mostrar anuncios un poco más relevantes ”, el informe. concluye.
“Todos los días, millones de estadounidenses comparten sus datos personales más íntimos en estas aplicaciones, suben fotos personales, registran sus períodos y revelan sus identidades sexuales y religiosas. Pero estas aplicaciones y servicios en línea espían a las personas, recopilan grandes cantidades de datos personales y los comparten con terceros sin el conocimiento de las personas. La industria lo llama adtech. Lo llamamos vigilancia. Necesitamos regularlo ahora, antes de que sea demasiado tarde ”, dijo Burcu Kilic, director del programa de derechos digitales de Public Citizen, una de las nueve organizaciones que enviaron cartas al Congreso, la FTC y los AG estatales en California, Texas y Oregon solicitando una investigación.
Las otras organizaciones que firmaron la carta fueron la Unión Estadounidense de Libertades Civiles de California, la Campaña por una Infancia sin Comerciales, el Centro para la Democracia Digital, Acción del Consumidor, la Federación de Consumidores de América, Consumer Reports, el Centro de Información de Privacidad Electrónica (EPIC). y grupos de investigación de interés público de EE. UU.
"El propósito de las pruebas ha sido aumentar nuestra comprensión del ecosistema de publicidad móvil", dijo Andreas Claesson, consultor senior de seguridad de Mnemonic e investigador principal del proyecto, en una empresa. del blog. "En particular, nuestro objetivo es identificar algunos de los principales actores que recopilan datos de usuarios de nuestro conjunto de aplicaciones de muestra, comprender el tipo y la frecuencia de los flujos de datos y examinar la información específica que se transmite".
“Nos sorprendió bastante la cantidad de datos que se comparten”, agregó el socio del proyecto Tor Bjørstad, líder de seguridad de aplicaciones y consultor principal. “Una motivación clave para este proyecto ha sido que la recopilación, el intercambio y el procesamiento de datos dentro de la industria de la publicidad en plataformas móviles no se comprenden bien. Esperamos que este trabajo que documente las prácticas actuales de la industria ayude a iniciar un debate sobre cómo se recopilan y utilizan los datos de los usuarios para la publicidad móvil ".
SC Media intentó encontrar contactos de prensa para cada uno de los 10 desarrolladores de software para solicitar un comentario oficial. SC Media agregará dichos comentarios a medida que los reciba.
