Una popular aplicación de Cripto tiene vínculos con una empresa de seguimiento de datos, según un informe.

Las versiones de Android de la popular aplicación de Criptomonedas Bitcoin Ticker Widget y un aparente clon de Steemit, Steemit Earn Money, incluyeron herramientas de kit de desarrollo de software (SDK) que extraen datos extensos sobre usuarios en el pasado y están potencialmente vinculadas al código de seguimiento de ubicación de X-Mode, una notoria empresa de seguimiento de datos, según unNuevo informe del Laboratorio de Seguridad Digital de Express VPNTambién se ha descubierto que otras dos aplicaciones de Finanzas personales contienen estos rastreadores de datos.

“Queríamos decirles a los consumidores: ‘Este es un gran problema; puede que no sean conscientes de ello’”, dijo Sean O’Brien, investigador principal deLaboratorio de seguridad digital de ExpressVPNAunque no todas estas aplicaciones son grandes marcas, se han descargado 1.700 millones de veces en conjunto, y millones de veces cada una por separado. Se ejecutan en los teléfonos de las personas, en sus bolsillos. Las usan para citas, redes sociales y finanzas, pero no son plenamente conscientes de la cantidad de datos que se recopilan.

Recopilación de datos personales

Si bien hay muchas empresas que compran y venden acceso a datos de ubicación extraídos de los teléfonos de personas desprevenidas, X-Mode ha sido objeto de escrutinio después de que se revelaran sus vínculos con contratistas del gobierno y el ejército.

En noviembre de 2020,Vice informóX-Mode obtenía datos detallados de ubicación de varias aplicaciones de oración musulmana y luego vendía esos datos “a contratistas y, por extensión, a los militares”.

Sigue leyendo: Desde intercambios de tarjetas SIM hasta amenazas de invasión de hogares, la filtración de Ledger tiene consecuencias en cascada

Este nuevo informe, una investigación mucho más amplia sobre este tema, descubrió que el código X-Mode estaba en el 44% de las 450 aplicaciones que analizaron, y esas aplicaciones habían sido descargadas al menos mil millones de veces.

“Estas aplicaciones son globales e incluyen aplicaciones de salud, así como también aplicaciones meteorológicas, juegos y filtros de maquillaje para fotografías”, se lee en el informe.

Se ejecutan en los teléfonos que la gente lleva en el bolsillo. La gente los usa para citas, redes sociales y finanzas, pero no son plenamente conscientes de la cantidad de datos que se recopilan.

Si bien Steemit Earn Money solo se ha descargado unas 100 veces, Bitcoin Ticker Widget se ha descargado más de 1 millón de veces.

En diciembre, Apple y Google les dijeron a los desarrolladores queeliminar X-Mode de sus aplicaciones o ser prohibido en sus tiendas de aplicaciones, pero a fines de enero, según el informe, muchas aplicaciones aún no habían cumplido, lo que fue confirmado por TechCrunch en al menos un caso.

En total, el estudio examinó 450 aplicaciones de Android para rastreadores de datos.

SDK y corredores de datos de X-Mode

Los SDK son herramientas fundamentales que agilizan y facilitan a los desarrolladores la creación de aplicaciones. Sin embargo, estas herramientas pueden contener código T para la función CORE de una aplicación. Este código adicional permite rastrear la ubicación, extraer datos y, en general, transmitir información al creador del SDK. Esta información puede luego compartirse o venderse para diversos fines.

Cuando los usuarios descargan una aplicación y aceptan sus términos de servicio y Regulación de Privacidad , pueden optar inadvertidamente por estas formas de recopilación de datos, incluso si no se les dice exactamente en manos de quién pueden terminar los datos. Este tipo de prácticas son comunes en el mundo de la publicidad dirigida, pero, como se ha documentado anteriormente, los datos también pueden terminar en manos de las fuerzas del orden(incluso sin orden judicial), cazarrecompensas y otros.

Sigue leyendo: Cómo una demanda contra el IRS busca ampliar la Privacidad de los usuarios de Cripto

“Dentro del SDK de X-Mode, hay referencias de código a cinco proveedores de datos”, dijo O’Brien. “Se trata de otras entidades a las que se denomina informalmente 'corredores de datos'. A veces venden datos y a veces no. Si bien es un proceso complejo, estas cinco entidades son básicamente marcas reconocidas en el sector de la vigilancia de ubicación”.

“Lo que parece estar ocurriendo, debido al contenido del código, es que estos proveedores de datos tienen algún tipo de relación comercial con X-mode, ya sea actual o anterior”, dijo O’Brien. “Y si están habilitados en estas aplicaciones, esos proveedores también obtienen información de la aplicación que tiene el SDK de X-mode”.

OneAudience, Opensignal y seguimiento de datos de ubicación

OneAudience, incluido tanto en Bitcoin Ticker Widget como en Steemit Earn Money, era un rastreador de "corredores de datos" al que se hacía referencia en el código de X-Mode como parte del SDK. Fue objeto de una prohibición y demanda de Facebook por violaciones a la Privacidad de los datos debido a que el SDK de OneAudience estaba recopilando datos.

En febrero de 2020, Twitter y Facebook afirmaron que “OneAudience había estado recopilando datos privados, como nombres, géneros, correos electrónicos, nombres de usuario y potencialmente los últimos tuits de las personas” hasta tal punto que se lo ha comparado conCambridge AnalyticaEscándalo. El SDK se cerró a finales de 2019.

Otro rastreador de datos, Opensignal, funciona principalmente como un mapeador WiFi, a través del cual se puede determinar la ubicación de los usuarios.

En su demanda contra OneAudience,según RecodeFacebook argumentó que “OneAudience también pagó a las aplicaciones para que recopilaran información de Google y Twitter de los usuarios cuando iniciaban sesión en una de las aplicaciones comprometidas usando la información de su cuenta de Google o Twitter”.

Sigue leyendo: Este escurridizo malware ha estado atacando billeteras de Cripto durante un año

OneAudience, al cerrar el SDK objeto de la demanda, declaró: «Se nos informó que información personal de cientos de identificaciones móviles podría haberse transferido a nuestra plataforma OneAudience. Estos datos nunca se recopilaron, nunca se añadieron a nuestra base de datos ni se utilizaron».

El modelo de negocios de Opensignal, por otro lado, depende principalmente de su caso de uso de mapeo Wi-Fi.

“La pregunta es: ¿cuántos datos de Wi-Fi están recopilando?”, preguntó O’Brien.

En suRegulación de PrivacidadOpensignal afirma que recopila datos de geolocalización, “tipo de red, operador de red, intensidad y calidad de la señal celular y WiFi, y los identificadores de torres de telefonía celular y enrutadores WiFi conectados”.

OneAudience no respondió a una Request de comentarios. Opensignal, en respuesta a una Request de comentarios, dirigió a los lectores a su Carta de Privacidad de Datos.

Una 'gran cantidad' de datos personales

Al dar un paso atrás y analizar el informe y el tráfico de red de estas aplicaciones, O'Brien llega a dos conclusiones importantes en lo que respecta al impacto en la Privacidad de sus datos.

“Normalmente, los datos no se gestionan bien”, dijo. “Y existe una gran cantidad de datos que pueden usarse como identificador de una persona que pasa por el sistema, incluso si la ubicación es la única razón mencionada para obtenerlos”.

Si decide KEEP usando aplicaciones como Bitcoin Ticker Widget y Steemit Earn Money, existen maneras de limitar su capacidad de rastreo de datos. O'Brien indicó que los usuarios deben acceder a la configuración y verificar los permisos de la aplicación, especialmente los de ubicación, y revocarlos.

“Eso puede significar que la aplicación pierda funcionalidad o muestre pantallas molestas pidiendo permiso”, dijo. “De lo contrario, lamentablemente, el único paso restante es eliminar la aplicación. Si resides en California o [la Unión Europea], podrías tener que tomar otras medidas para solicitar la eliminación de información o, al menos, solicitar una copia de la información que tienen”.