Miguel López
EditorNo está siendo una buena semana para los desarrolladores de AccuWeather, una de las aplicaciones meteorológicas para iOS más conocidas del mercado. El experto en seguridad Will Strafach ha descubierto que uno de los SDK de la aplicación, proporcionado por la desarrolladora Reveal Mobile, era capaz de recopilar datos sobre la ubicación del usuario aún incluso cuando éste no diese permiso para ello.
Reveal Mobile y AccuWeather han reaccionado en un día, afirmando al medio 9to5Mac que el SDK no tienen ninguna función oculta con la que se intente adivinar la ubicación de un usuario. Han prometido el lanzamiento de una nueva versión de SDK para difundir todas las dudas que hayan, y en otro comunicado admiten que el SDK registraba algunos datos sin que la compañía lo supiese.
"Ha sido sin querer"
Concretemos. Si el usuario lo permitía, AccuWeather registraba varios datos de los usuarios: el nombre de su red Wi-Fi, su ubicación y si el terminal tenía la conectividad Bluetooth activa. Hasta aquí bien, porque son datos que normalmente se recogen en aplicaciones gratuitas (es su modelo de negocio, precisamente) y siempre con el permiso expreso del usuario.
La polémica ha llegado cuando ese mismo SDK, cuando no se le daba permiso para registrar datos, seguía haciéndolo con los nombres de las redes Wi-Fi. También intentaba, a través de la lectura de las conexiones Bluetooth, triangular la posición del terminal. O sea que no se guardaban las coordenadas GPS directamente, pero se intentaban encontrar mediante las señales Bluetooth.
Las compañías se defienden así de lo encontrado por Strafach:
Otros datos, como la información de la red Wi-Fi, estuvieron disponibles durante un periodo corto de tiempo en el SDK de Reveal, pero sin que sean usados por AccuWeather. De hecho, AccuWeather no se percató de que los datos estaban disponibles. Consecuentemente, en ningún momento se han usado esos datos para cualquier propósito.
Básicamente, AccuWeather y Reveal Mobile revelan que un supuesto error en su SDK recopilaba datos cuando no tocaba hacerlo. Un "ha sido sin querer" en toda regla. Y la nueva versión de ese SDK que ya debería estar entre nosotros deja de hacerlo. Buen paso, pero la desconfianza que algunos usuarios pueden tener ahora es también justificable: hasta ahora se les prometía que no se registraban sus ubicaciones si ellos no daban permiso para ello, cuando sí que como mínimo quedaban guardadas en alguna parte del SDK de Reveal.
¿Qué falta por ver ahora? Pues AccuWeather ya ha prometido reparar el error de su SDK, así que habrá que echar un vistazo a sus entrañas de nuevo para comprobar si realmente deja de recopilar datos. Aunque no haya sido la intención inicial de Reveal Mobile, es algo delicado que puede afectar a la credibilidad de la compañía de ahora en adelante.
En Applesfera | Apple ha eliminado aplicaciones VPN en la App Store de China
Ver 3 comentarios
3 comentarios
Uti
"admiten que el SDK registraba algunos datos sin que la compañía lo supiese". . . . . .¿De verdad no lo sabían?
Yo no me lo creo en absoluto, un programa hace lo que alguien le dice que haga, y no creo que fuera decisión del programador la recopilación de datos de forma ilegal.
Me temo que AccuWeather va a tardar mucho en recuperar su credibilidad.
luiggis
Si los datos quedan del lado de la empresa, como es que no se dieron cuenta que estaba creciendo el tamaño de alguna base de datos y no sabian por que?
ahora si los datos quedan en el dispositivo, es mas dificil rastrearlo pero igual dificil de creer.
black_ice
Primero lo del bluetooth no es cierto. Es un error que leí en el artículo de 9to5mac, y que NO aparece en el informe original. En iOS no puedes detectar balizas bluetooth sin permiso expreso del usuario.
Por otra parte lo que si que al parecer se seguía guardando, eran los nombres de las redes Wi-Fi a las que se estaba conectado y sus BSSIDs. Esta información no es localización explícitamente, sin embargo es posible inferir la localización, si se sabe donde están físicamente cada punto de acceso del mundo.
Yo personalmente lo veo como un descuido mas que como algo que hicieran de manera explícita, la razón es que en iOS sabes que si el usuario no acepta el sistema no te dará información de localización (ni GPS ni Geofences ni beacons bluetooth), pero sigue permitiendo acceder al nombre de la red al que estás conectado y a su BSSID. Dado que iOS no mete en el mismo saco SSIDs, BSSIDs y localización, ellos siguieron el mismo modelo y punto.
Quizás lo suyo es que iOS proteja esta información también mediante el permiso de localización.