Decenas de aplicaciones de iOS pilladas recopilando y vendiendo datos de la ubicación de los usuarios

Decenas de aplicaciones de iOS pilladas recopilando y vendiendo datos de la ubicación de los usuarios

Un equipo de investigadores de seguridad detrás de una popular aplicación de firewall móvil dice que ha identificado decenas de aplicaciones de iOS que recopilan datos de ubicación de usuarios de iPhone, datos que luego transmiten a empresas de monetización.

En todos los casos, dicen los investigadores, la recolección se produce a través del código de seguimiento empaquetado que las firmas de monetización proporcionan a los desarrolladores para insertar en sus respectivas aplicaciones.

La buena noticia, como señalan los investigadores, es que la recopilación de datos no se realiza de forma encubierta. En cambio, todas las aplicaciones piden permiso a los usuarios para recopilar la información. La mayoría de las aplicaciones que los investigadores han analizado parecen tener una razón válida para solicitar esos permisos.

El problema, según el equipo de la aplicación Guardian, es que hay "poca o ninguna mención del hecho de que los datos de ubicación se compartirán con entidades de terceros para fines no relacionados con la operación de la aplicación".

Los datos se venden a empresas de terceros

Los investigadores dicen que han detectado docenas de aplicaciones de iOS dedicadas a este patrón de acceso a los datos de los usuarios, principalmente datos de ubicación, a través del código de seguimiento proporcionado por las empresas de monetización.

En la gran mayoría de los casos, las aplicaciones solicitaron acceso a coordenadas de GPS, datos de baliza de Bluetooth LE y SSID de red WiFi e identificadores de BSSID. Todos estos datos se pueden usar para rastrear la ubicación de un usuario con gran precisión.

Además, también han visto muchas aplicaciones que solicitan acceso a otros datos de identificación personal, como altitud GPS e información de velocidad, estado de carga de la batería, datos de la red celular, información del acelerómetro, identificadores de publicidad de IDFA, y más.

Los investigadores de Guardian publicaron hoy un informe que contiene los nombres de 12 empresas de monetización que recibieron datos, los nombres de 24 aplicaciones que contienen código de empresas de monetización de datos de ubicación y los nombres de 100 aplicaciones de noticias que contienen el código de monetización de la empresa RevealMobile.

Esta última empresa de monetización, RevealMobile, es la misma compañía donde la aplicación AccuWeather iOS fue capturada al enviar datos de usuarios el año pasado, sin permiso del usuario.

Este tipo de comportamiento oculto de venta de datos es exactamente lo que Apple está tratando de prevenir. A principios de este mes, Apple informó a los desarrolladores de aplicaciones que todas las aplicaciones que no agregarían una política de privacidad detallada que describiera cómo manejan los datos del usuario se eliminarían de la tienda de aplicaciones de Apple después del 3 de octubre.

Will Strafach, uno de los investigadores de Sudo Security detrás de la aplicación de firewall Guardian, también descubrió en febrero de 2017 que 76 aplicaciones de iOS no implementaron correctamente el cifrado TLS y expusieron a sus usuarios a silenciosos ataques de interceptación de datos usando ataques MitM (Man-in-the-Middle).

Más información: Informe Guardian