Más de la mitad de todas las aplicaciones para el iPhone recopilan y comparten un código único que se podría utilizar para rastrear a los usuarios sin su conocimiento, según informa un estudio reciente.
Manuel Egele, un estudiante de doctorado en la Universidad Técnica de Viena, junto a tres otros investigadores, examinaron el modo en que más de 1.400 aplicaciones para el iPhone manejan los datos de los usuarios. Sólo un pequeño número comprometían abiertamente la privacidad: 36 accedían a la ubicación del dispositivo sin informar previamente al usuario; otras cinco extraían datos de la libreta de direcciones del usuario sin permiso. La investigación será presentada en el simposio Network and Distributed System Security a principios de febrero.
Sin embargo, más de la mitad de las aplicaciones para el iPhone estudiadas recogían el ID de dispositivo—un número hexadecimal de 40 dígitos que sirve para identificar a un teléfono en particular. Más de 750 de las aplicaciones estudiadas utilizaban algún tipo de tecnología de seguimiento. En unos 200 casos, el desarrollador creó una manera de hacer un seguimiento del código de identificación del dispositivo; el resto de las aplicaciones utilizaban esta funcionalidad a partir de la publicidad o haciendo un seguimiento de la biblioteca de software.
"Existe el potencial de que aquellas empresas de poco fiar puedan construir perfiles de sus usuarios", afirma Egele. "El código identificado no está ligado a un nombre de usuario, pero se puede vincular a una cuenta de Facebook, y eso nos daría una gran cantidad de información sobre el usuario, incluyendo—la mayoría de las veces—su verdadero nombre".
Apple, que recientemente celebró su descarga 10 mil millones en la tienda de aplicaciones, supervisa las aplicaciones y requiere que los desarrolladores soliciten autorización para acceder a los datos de los usuarios. Sin embargo, poco se sabe acerca de cómo la compañía comprueba cada aplicación.
"No sabemos exactamente lo que hacen estas aplicaciones—no provienen de grandes desarrolladores, provienen de gente común", afirma Charlie Miller, experto en seguridad del iPhone y analista principal en Independent Security Evaluators. El iPhone limita automáticamente lo que pueden hacer los programas usando algo denominado como "caja de arena" ("sandbox"), aunque estas restricciones no son muy estrictas, lo que significa que no es difícil recoger datos de carácter personal, asegura Miller. "Se ejecutan en una caja de arena, pero es un recinto de seguridad poco severo".
Los cuatro investigadores analizaron 825 aplicaciones disponibles de forma gratuita en la App Store de Apple y otras 582 aplicaciones en el almacén Cydia, un servicio que distribuye software para aquellos usuarios que hayan eliminado las medidas de seguridad de su iPhone, un proceso conocido como "jailbreak" ("liberar el teléfono").
Egele y sus colegas definieron una violación de la privacidad como un incidente mediante el que un programa lee datos confidenciales—direcciones, números de teléfono, cuenta de correo electrónico—del dispositivo y envía los datos a través de Internet sin pedir permiso. Los investigadores no tuvieron forma de saber si el usuario era engañado para dar su consentimiento.
"Nosotros hemos descrito la privacidad como el hecho de que no se extraigan datos sensibles del dispositivo móvil sin que el usuario lo sepa", explica Egele. "Pero no podemos distinguir si hay intenciones maliciosas o no".
Los investigadores desarrollaron un software para probar la funcionalidad de cada programa y determinar si recogía y transmitía información confidencial sin informar al usuario. También tuvieron que descifrar cómo ciertas aplicaciones funcionaban sólo con información limitada.
Un dato interesante de la investigación: las aplicaciones de la App Store tenían más probabilidades de acceder a los datos del usuario de forma subrepticia que las aplicaciones sin vigilar del almacén Cydia, afirma Egele.
Miller afirma que Apple debe mejorar su proceso de análisis de solicitudes. "No hay una solución fácil al problema, pero poseer un punto de paso central (como en el caso de Apple) es la mejor manera de hacerlo", afirma. "Sin embargo, en este momento, Apple probablemente no esté haciendo bien su trabajo".
No hay comentarios:
Publicar un comentario