Opinión | Vulnerabilidad que convierte tu app en espía
Ultimo En diciembre informé cómo el SDK de Facebook La información se recopila de aplicaciones como Tinder y Grindr, así como de varias aplicaciones religiosas y de embarazo. En la información enviada a Facebook: la dirección IP y el tipo de su dispositivo, el tiempo de uso y su ID de publicidad. Si bien los datos supuestamente se anonimizan, las identificaciones publicitarias permiten que las grandes empresas como Facebook identifiquen muy fácilmente la información de aplicaciones de terceros y la vinculen a los usuarios existentes de Facebook (si ya ha iniciado sesión en Facebook en su teléfono o ha descargado la aplicación, Facebook puede Teóricamente, la ID de publicidad coincide con la ID transmitida a través del SDK).
Se vuelve especialmente importante cuando el SDK está integrado en una aplicación que contiene información confidencial.Este mes Noticias BuzzFeed Las aplicaciones de seguimiento de esa época enviaban datos muy personales a Facebook a través del SDK, incluida la última vez que una mujer tuvo relaciones sexuales. No es solo Facebook; las pequeñas empresas tecnológicas y las redes publicitarias con prácticas comerciales desconocidas proporcionan SDK a las aplicaciones y pueden exponer información. En 2018, Investigador en Kaspersky Lab «Establecido Cuatro millones de aplicaciones de Android Los datos del perfil de usuario sin cifrar, como el nombre, la edad, los ingresos, el número de teléfono y la dirección de correo electrónico (en un ejemplo, la fecha de nacimiento, el nombre de usuario y las coordenadas GPS) se envían desde la aplicación al servidor del anunciante.
Para comprender la popularidad de los SDK, utilicé MightySignal, una herramienta que rastrea los SDK integrados en decenas de miles de aplicaciones para buscar categorías confidenciales. Según el sitio, encontré rápidamente Period Tracker, una aplicación de Android con más de 100 millones de descargas.señal fuerte lista Veintiséis SDK de Facebook y Google, así como de pequeñas empresas de tecnología, están integrados en la aplicación, cada uno de los cuales transmite información potencialmente confidencial. Feeld, una aplicación que comenzó como una forma para que parejas y solteros participaran en encuentros grupales, actualmente tiene 42 ha sido instalado SDK y 52 SDK instalados previamente en su aplicación iOS. Si bien no está claro exactamente qué información se comparte, cada tercero que recibe información confidencial es una vulnerabilidad potencial. Para algunos SDK que pertenecen a redes publicitarias o pequeñas empresas de análisis, estas empresas pueden comprarse y venderse, por lo que los datos pueden cambiar de manos sin el conocimiento de sus propietarios.
Casi todas las fuentes de la industria publicitaria con las que hablé pidieron hablar de forma anónima sobre el SDK, en parte porque sus empresas usan el SDK de alguna manera para recopilar datos. Algunos describen una industria sin regulación o vigilancia significativa como el Salvaje Oeste. «Es el estándar de la industria», me dijo un veterano de la industria de la publicidad en línea. «Y cada aplicación potencialmente filtra datos a otras cinco o diez aplicaciones. Cada SDK toma sus datos y hace algo diferente, combinándolos con otros datos para obtener más información sobre su información. Esto sucede incluso cuando las empresas dicen que no compartimos datos «Porque técnicamente no lo comparten; el SDK simplemente lo saca. Nadie tiene privacidad».
Los SDK no son inherentemente malos. Pero su popularidad puede convertir casi cualquier aplicación, sin importar cuán mundana sea, en un recolector de datos. aplicación de belleza y Televisión inteligente Hay SDK e incluso coches. 2015 Informe de Tech Crunch Describe el SDK automotriz inicial como «una aplicación que transmite datos en tiempo real desde la computadora y los sensores del automóvil al teléfono que se ejecuta en el teléfono».