Recopilación de datos de ubicación por aplicaciones populares
Algunas de las aplicaciones más populares del mundo están siendo cooptadas por miembros deshonestos de la industria publicitaria para recolectar datos de ubicación sensibles a gran escala. Esta información termina en una compañía de datos de ubicación cuya subsidiaria ha vendido anteriormente datos de ubicación global a las fuerzas del orden de EE. UU.
Las miles de aplicaciones involucradas, que se encuentran en archivos hackeados de la compañía de datos de ubicación Gravy Analytics, abarcan desde juegos como Candy Crush y aplicaciones de citas como Tinder, hasta aplicaciones de seguimiento de embarazo y oración religiosa en Android e iOS. Dado que gran parte de la recolección ocurre a través del ecosistema publicitario, en lugar de por código desarrollado por los mismos creadores de las aplicaciones, es probable que esta recopilación de datos ocurra sin el conocimiento de los usuarios o incluso de los desarrolladores de aplicaciones.
Evidencias de la recolección de datos
“Por primera vez públicamente, parece que tenemos pruebas de que uno de los mayores corredores de datos que vende tanto a clientes comerciales como gubernamentales parece estar adquiriendo sus datos del ‘bid stream’ de publicidad en línea”, señala Zach Edwards, analista sénior de amenazas de la firma de ciberseguridad Silent Push, quien ha seguido de cerca la industria de datos de ubicación, después de revisar algunos de los datos. Esta recopilación ofrece una visión rara del mundo de la oferta en tiempo real (RTB).
Impacto en la privacidad de los usuarios
Históricamente, las compañías de datos de ubicación pagaban a los desarrolladores de aplicaciones para incluir paquetes de código que recopilaban los datos de ubicación de sus usuarios. Sin embargo, muchas empresas han comenzado a obtener información de ubicación a través del ecosistema publicitario, donde las compañías pujan por colocar anuncios dentro de las aplicaciones. Un efecto colateral de esto es que los corredores de datos pueden espiar ese proceso y recopilar la ubicación de los teléfonos móviles.
“Este es un escenario aterrador para la privacidad, porque no solo esta violación de datos contiene información extraída de los sistemas RTB, sino que hay una compañía que actúa como un andrógino global, haciendo lo que quiere con cada pieza de datos que recibe”, dice Edwards.
Listado de aplicaciones involucradas
Los datos hackeados de Gravy incluyen decenas de millones de coordenadas de teléfonos móviles de dispositivos dentro de EE. UU., Rusia y Europa. Algunos de esos archivos también mencionan aplicaciones junto a cada dato de ubicación. 404 Media extrajo los nombres de las aplicaciones y construyó una lista de las mencionadas. La lista incluye sitios de citas como Tinder y Grindr; juegos masivos como Candy Crush, Temple Run, Subway Surfers y Harry Potter: Puzzles & Spells; la aplicación de tránsito Moovit; My Period Calendar & Tracker, una aplicación para el seguimiento de períodos con más de 10 millones de descargas; la popular aplicación de fitness MyFitnessPal; la red social Tumblr; el cliente de correo de Yahoo; la aplicación de oficina 365 de Microsoft; y el rastreador de vuelos Flightradar24. La lista también menciona varias aplicaciones religiosas como aplicaciones de oración musulmana y de la Biblia cristiana, diversos rastreadores de embarazo y muchas aplicaciones VPN, que algunos usuarios pueden descargar, irónicamente, en un intento de proteger su privacidad.
La lista completa se puede encontrar aquí. Varios investigadores de seguridad han publicado otras listas de aplicaciones incluidas en los datos, con diferentes tamaños. Nuestra versión es relativamente más grande porque incluye aplicaciones de Android e iOS, y decidimos mantener instancias duplicadas de la misma aplicación que tenían ligeras variaciones en el nombre para facilitar a los lectores la búsqueda de las aplicaciones que tienen instaladas.
Aunque este conjunto de datos proviene de un aparente hackeo a Gravy, no está claro si Gravy recopiló estos datos de ubicación por sí mismo o si los obtuvo de otra compañía, ni qué compañía de ubicación es la que finalmente los posee o tiene licencia para usarlos.
Fuente y créditos: www.wired.com
Cats: Security,Security / Privacy,Security / Cyberattacks and Hacks,Overexposed
