Google elimina 3 aplicaciones de Android para niños, con más de 20 millones de descargas entre ellas, por violaciones de recopilación de datos


Cuando se trata de aplicaciones, Android lidera el grupo con casi 3 millones de aplicaciones en su tienda oficial de Google Play. El gran volumen también significa que, a veces, las aplicaciones dudosas se escabullen.

Investigadores del International Digital Accountability Council (IDAC), un organismo de control sin fines de lucro con sede en Boston, encontraron que recientemente se descubrió que un trío de aplicaciones populares y aparentemente inocentes dirigidas a usuarios más jóvenes violaban las políticas de recopilación de datos de Google, lo que podría acceder a las Números de ID de Android y AAID (ID de publicidad de Android), con la fuga de datos potencialmente conectada a las aplicaciones que se están construyendo usando SDK de Unity, Umeng y Appodeal.

En conjunto, las aplicaciones tuvieron más de 20 millones de descargas entre ellas.

Las tres aplicaciones en cuestión, Princess Salon, Number Coloring y Cats & Cosplay, ahora se han eliminado de la tienda de aplicaciones de Google Play, como puede ver en los enlaces de arriba. Google nos confirmó que eliminó las aplicaciones después de que IDAC le informara sobre las violaciones.

«Podemos confirmar que las aplicaciones a las que se hace referencia en el informe se eliminaron», dijo un portavoz de Google. «Siempre que encontramos una aplicación que infringe nuestras políticas, actuamos».

Las violaciones apuntan a una preocupación más amplia con el enfoque de los tres editores para adherirse a las políticas de protección de datos. «Las prácticas que observamos en nuestra investigación suscitaron serias preocupaciones sobre las prácticas de datos dentro de estas aplicaciones», dijo el presidente de IDAC, Quentin Palfrey.

El incidente se destaca en un momento en el que se está prestando mucha atención a Google y al tamaño de su operación. A principios de esta semana, el Departamento de Justicia de EE. UU. Y 11 estados demandaron a la compañía, acusándola de comportamiento monopolístico y anticompetitivo en búsquedas y publicidad en búsquedas.

Para ser claros, las infracciones de la aplicación aquí no están relacionadas con la búsqueda, pero subrayan la escala del funcionamiento de Google y cómo incluso pequeños descuidos pueden provocar que decenas de millones de usuarios se vean afectados. También sirven como un recordatorio de los desafíos de vigilar de manera proactiva las violaciones individuales en tal escala, y que esos desafíos pueden aterrizar en un área particularmente peligrosa: cómo los menores usan las aplicaciones.

Al menos en el caso de dos de los editores, Creative APPS y Libii Tech (cuyas aplicaciones se basan en el elenco de personajes ilustrados en la parte superior de esta historia), otras aplicaciones aún están activas. Y también parece que las versiones de las aplicaciones también se pueden descargar a través de sitios de APK (como este). También hay versiones en iOS (por ejemplo aquí), pero el equipo de tecnología de IDAC dijo que en un análisis inicial, no vio inmediatamente preocupaciones análogas, pero continuará monitoreando la situación.

La infracción en este caso es compleja, pero es un ejemplo de una de las formas en que los usuarios pueden ser rastreados sin saberlo a través de aplicaciones.

Señalando la actividad detrás de escena y el procesamiento de datos que se cargan en aplicaciones de apariencia inocente, IDAC destacó tres SDK utilizados en particular por los desarrolladores de aplicaciones: Unity 3D y el motor de juegos, Umeng (un proveedor de análisis propiedad de Alibaba conocido como «Flurry of China» que algunos han descrito también como un proveedor de adware) y Appodeal (otra aplicación proveedor de monetización y análisis) – como el origen de los problemas.

Palfrey explicó que el problema radica en cómo los datos a los que las aplicaciones pudieron acceder a través de los SDK podrían vincularse con otros tipos de datos, como la información de geolocalización. «Si la información de AAID se transmite junto con un identificador persistente [such as Android ID] es posible que se superen las medidas de protección que Google pone en marcha para proteger la privacidad ”, dijo.

IDAC no especificó las violaciones en todos los SDK, pero señaló en un ejemplo que ciertas versiones del SDK de Unity recopilaban tanto el AAID del usuario como el ID de Android simultáneamente, y eso podría haber permitido a los desarrolladores «evitar los controles de privacidad y rastrear a los usuarios a lo largo del tiempo y en todos los dispositivos «.

IDAC describe el AAID como «el pasaporte para agregar todos los datos sobre un usuario en un solo lugar». Permite a los anunciantes orientar anuncios a los usuarios en función de las señales de las preferencias que pueda tener un usuario. Los usuarios pueden restablecer el AAID. Sin embargo, si un SDK también proporciona un enlace al ID de Android de un usuario, que es un número estático, comienza a crear un «puente» para identificar y rastrear a un usuario.

Palfrey no fue demasiado específico sobre si podría determinar cuántos datos se extrajeron realmente como resultado de las violaciones que identificó, pero Google dijo que continuaba trabajando en asociaciones y procedimientos para atrapar a actores maliciosos similares (intencionales o de otro tipo). .

“Un ejemplo del trabajo que estamos haciendo aquí es el programa de certificación de anuncios de Familias, que anunciamos en 2019”, dijo el vocero. “Para las aplicaciones que deseen publicar anuncios en aplicaciones para niños y familias, les pedimos que utilicen solo SDK de anuncios que tengan un cumplimiento autocertificado de las políticas para niños / familias. También exigimos que las aplicaciones dirigidas únicamente a niños no contengan API o SDK que no estén aprobados para su uso en servicios dirigidos a niños «.

IDAC, que se lanzó en abril de 2020 como un spin-off del Future of Privacy Forum, también ha llevado a cabo investigaciones sobre violaciones de privacidad de datos en aplicaciones de fertilidad y rastreadores COVID-19, y a principios de esta semana también publicó hallazgos sobre la fuga de datos de una versión anterior del SDK de MoPub de Twitter que afecta a millones de usuarios.



Fuente: TechCrunch

Compartir:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para fines de afiliación y para mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, aceptas el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos.Ver Política de cookies
Privacidad