App Cripto popolare trovata legata a società di monitoraggio dei dati: rapporto

Le versioni Android della popolare app Criptovaluta Bitcoin Ticker Widget e un apparente clone di Steemit, Steemit Earn Money, includevano strumenti di kit di sviluppo software (SDK) che estraggono dati estesi sugli utenti in passato e sono potenzialmente collegati al codice di tracciamento della posizione di X-Mode, una famigerata azienda di tracciamento dei dati, secondo unnuovo rapporto di Express VPN Digital Security LabSi è scoperto che anche altre due app Finanza personale contengono questi tracker di dati.

"Volevamo dire ai consumatori: 'Questo è un problema enorme; potreste non esserne consapevoli'", ha affermato Sean O'Brien, ricercatore principale pressoLaboratorio di sicurezza digitale ExpressVPN. "Sebbene queste app T siano tutte grandi marchi, sono state scaricate 1,7 miliardi di volte, collettivamente, e milioni di volte per ogni singola app. Sono in esecuzione sui telefoni delle persone nelle loro tasche. Le persone le usano per incontri, social e finanze, ma non sono pienamente consapevoli della quantità di dati che vengono raccolti".

Raccolta di dati personali

Sebbene siano numerose le aziende che acquistano e vendono l’accesso ai dati sulla posizione raccolti dai telefoni di persone ignare, X-Mode è finita sotto esame dopo che sono stati rivelati i suoi legami con appaltatori governativi e militari.

Nel novembre 2020,Vice segnalatoX-Mode riceveva dati dettagliati sulla posizione da numerose app di preghiera musulmane, per poi venderli "agli appaltatori e, per estensione, all'esercito".

Continua a leggere: Da SIM-Swap a minacce di invasione domestica, la fuga di dati Ledger ha conseguenze a cascata

Questo nuovo rapporto, un'indagine molto più approfondita sulla questione, ha scoperto che il codice X-Mode era presente nel 44% delle 450 app analizzate e che tali app erano state scaricate almeno un miliardo di volte.

"Queste app sono globali e includono sia app per la salute che per il meteo, giochi e filtri per il trucco", si legge nel rapporto.

"Funzionano sui telefoni delle persone che hanno in tasca. Le persone li usano per appuntamenti, social e finanze, ma non sono pienamente consapevoli della quantità di dati che vengono raccolti".

Mentre Steemit Earn Money è stato scaricato solo circa 100 volte, Bitcoin Ticker Widget è stato scaricato oltre 1 milione di volte.

A dicembre, Apple e Google hanno chiesto agli sviluppatori dirimuovere X-Mode dalle loro app o verranno bandite dai loro app store, ma secondo il rapporto, alla fine di gennaio molte app non si erano ancora adeguate, cosa confermata da TechCrunch in almeno ONE caso.

Nel complesso, lo studio ha esaminato 450 app Android per il monitoraggio dei dati.

SDK e broker di dati di X-Mode

Gli SDK sono strumenti fondamentali che rendono più rapido e semplice per gli sviluppatori realizzare app. Detto questo, questi strumenti possono contenere codice che T è necessario per la funzione CORE di un'app. Questo codice extra può tracciare la posizione, estrarre dati e generalmente inoltrare informazioni al creatore dell'SDK. Tali informazioni possono quindi essere condivise o vendute per essere utilizzate per una varietà di scopi.

Quando gli utenti scaricano un'app e ne accettano i termini di servizio e Politiche Privacy , potrebbero inavvertitamente accettare queste forme di raccolta dati, anche se non viene detto loro esattamente in quali mani potrebbero finire i dati. Questo tipo di pratiche sono comuni nel mondo della pubblicità mirata ma, come è stato documentato in precedenza, i dati possono anche finire nelle mani delle forze dell'ordine(anche senza mandato), cacciatori di taglie e altri.

Continua a leggere: Come una causa contro l'IRS sta cercando di ampliare la Privacy degli utenti Cripto

"All'interno dell'X-Mode SDK, ci sono riferimenti di codice a cinque provider di dati", ha detto O'Brien. "Queste sono altre entità che le persone chiamano vagamente 'data broker'. A volte stanno effettivamente vendendo dati e a volte no. Sebbene sia un po' complesso, queste cinque entità sono fondamentalmente marchi ben noti in questo spazio di sorveglianza della posizione".

"Ciò che sembra accadere a causa di ciò che è nel codice è che questi provider di dati hanno una sorta di relazione commerciale con X-mode, attuale o precedente", ha affermato O'Brien. "E se sono abilitati in queste app, allora quei provider stanno anche ottenendo alcune informazioni dall'app che ha l'SDK X-mode".

OneAudience, Opensignal e tracciamento dei dati sulla posizione

OneAudience, incluso sia in Bitcoin Ticker Widget che in Steemit Earn Money, era ONE tracker "data broker" a cui si faceva riferimento nel codice di X-Mode come parte dell'SDK. È stato oggetto di un divieto e causa legale di Facebook sulle violazioni Privacy dei dati dovute ai dati raccolti dall'SDK di OneAudience.

Nel febbraio 2020 Twitter e Facebook hanno affermato che “OneAudience stava raccogliendo dati privati, come nomi, generi, e-mail, nomi utente e potenzialmente gli ultimi tweet delle persone” a tal punto che è stato paragonato aCambridge Analyticascandalo. L'SDK è stato chiuso alla fine del 2019.

Un altro tracker di dati, Opensignal, funziona principalmente come un mappatore WiFi, attraverso il quale è possibile determinare la posizione degli utenti.

Nella sua causa contro OneAudience,secondo Recode, Facebook ha sostenuto che "OneAudience ha anche pagato app per raccogliere informazioni Google e Twitter degli utenti quando questi accedevano a ONE delle app compromesse utilizzando le informazioni del loro account Google o Twitter".

Continua a leggere: Questo malware elusivo ha preso di mira i portafogli Cripto per un anno

OneAudience, quando ha chiuso l'SDK che era oggetto della causa, ha affermato: "Siamo stati informati che le informazioni personali di centinaia di ID mobili potrebbero essere state trasmesse alla nostra piattaforma OneAudience. Questi dati non erano destinati a essere raccolti, non sono mai stati aggiunti al nostro database e non sono mai stati utilizzati".

Il modello di business di Opensignal, d'altro canto, dipende principalmente dal suo caso d'uso di mappatura Wi-Fi.

"La domanda è: quanti dati Wi-Fi stanno estraendo?" ha chiesto O'Brien.

Nel suoPolitiche Privacy, Opensignal afferma di raccogliere dati di geolocalizzazione, "tipo di rete, operatore di rete, potenza e qualità del segnale cellulare e WiFi e gli identificatori delle torri cellulari connesse e dei router WiFi".

OneAudience non ha risposto a una Request di commento. Opensignal, in risposta a una Request di commento, ha indirizzato i lettori alla sua Carta Privacy dei dati.

Una 'ricca quantità' di dati personali

Facendo un passo indietro e analizzando il report e il traffico di rete di queste app, O'Brien trae due importanti conclusioni per quanto riguarda l'impatto sulla Privacy dei dati.

"Di solito i dati non vengono gestiti molto bene", ha detto. "E c'è una grande quantità di dati che può essere utilizzata come identificatore per una persona che sta passando attraverso il tubo, anche se la posizione è l'unica ragione nominata per cui i dati vengono raccolti".

Se scegli di KEEP a usare app come Bitcoin Ticker Widget e Steemit Earn Money, ci sono modi per limitare le loro capacità di tracciamento dei dati. O'Brien ha detto che gli utenti dovrebbero andare nelle impostazioni e controllare i permessi per l'app, in particolare i permessi di posizione, e revocarli.

"Ciò potrebbe significare che l'app diventa meno funzionale o mostra fastidiose schermate che chiedono il permesso", ha affermato. "Altrimenti, sfortunatamente, l'unico altro passaggio è rimuovere l'app. Se sei un residente della California o [dell'Unione Europea], potrebbero esserci altri passaggi da intraprendere per quanto riguarda la richiesta di cancellazione delle informazioni o almeno la richiesta di una copia delle informazioni in loro possesso".