Cómo detectar aplicaciones que filtran sus datos

Una de las razones por las que los teléfonos inteligentes y las aplicaciones para teléfonos inteligentes son tan útiles es que pueden integrarse íntimamente con nuestra vida personal. Pero eso también pone en riesgo nuestros datos personales.





Un nuevo servicio llamado Mobilescope espera cambiar eso al permitir que el usuario de un teléfono inteligente examine todos los datos que transfieren las aplicaciones y alertarlo cuando se transfiera información confidencial, como su nombre o dirección de correo electrónico.

Es una herramienta de interceptación independiente de la plataforma que puede usar en su dispositivo Android, iOS, Blackberry o Windows, dice Ashkan Soltani , un investigador de privacidad independiente que creó Mobilescope con sus colegas investigadores David Campbell y Aldo Cortesi .

Su primera prueba de concepto ganó un premio a la mejor aplicación creada durante un concurso de programación centrado en la privacidad, o codeathon, organizado por el Wall Street Journal en abril de este año; el trío lo ha pulido lo suficiente como para abrir un período de prueba beta. El acceso se está extendiendo constantemente a los dos miles de personas que ya han inscrito , dice Soltani.



Una vez que una persona se ha suscrito al servicio, se accede a Mobilescope a través de un sitio web, no como una aplicación instalada en un dispositivo. Un usuario puede usar el sitio para ver registros de los datos transferidos por las aplicaciones en su dispositivo. También pueden especificar canarios, piezas de información confidencial como un número de teléfono, correo electrónico o nombre que activan una alerta si son enviados por una aplicación.

Mobilescope puede detectar aplicaciones que hacen cosas como copiar la libreta de direcciones de una persona a un servidor remoto, como se descubrió que Path y varias otras aplicaciones móviles lo hacían a principios de este año. Soltani dice que el servicio está destinado a nivelar el campo de juego entre las aplicaciones móviles y las personas que las usan al brindarles a los usuarios más información sobre lo que hacen esas aplicaciones. Como quedó claro cuando se descubrió que varias aplicaciones populares copiaban silenciosamente datos de contacto de los usuarios a principios de este año, ni los sistemas operativos móviles de Apple ni de Google ofrecen a las personas mucha información o control sobre las aplicaciones que se comparten (consulte la Advertencia ignorada de Apple sobre el acceso a la libreta de direcciones). .

Nuestro objetivo es simplificar realmente el proceso de interceptación, dice Soltani. Si no es un usuario avanzado, aún puede obtener estos datos con Mobilescope.



Cuando una persona se registra en Mobilescope, se envía un archivo de configuración a su dispositivo. Una vez instalado, este archivo hace que todo el tráfico de Internet futuro se enrute a través de un servidor de Mobilescope para que pueda analizar los datos que van y vienen al dispositivo y sus aplicaciones. Ese arreglo es posible gracias a la forma en que los teléfonos inteligentes están diseñados para ser compatibles con VPN, o redes privadas virtuales, comunicaciones encriptadas que algunas empresas utilizan para mantener la privacidad de los datos corporativos. Ese diseño no agrega mucho retraso a la conexión de una persona, dice Soltani, en parte porque los usuarios están conectados con un servidor lo más cerca geográficamente posible de ellos.

Mobilescope puede incluso examinar los datos que se envían a través de los tipos más comunes de conexión segura que usan las aplicaciones, similares a las que usan los sitios web bancarios, interceptando los certificados involucrados. El servicio no puede descifrar otros datos, pero Soltani dice que pocas aplicaciones se molestan en utilizar el cifrado. Los datos recopilados por Mobilescope se descartan después de cada sesión de uso y solo se almacenan en el dispositivo de una persona.

Soltani dice que no se imagina que Mobilescope tendrá el atractivo masivo de algo como Angry Birds, pero espera que anime a los periodistas, activistas y propietarios de teléfonos inteligentes comunes a investigar lo que hacen las aplicaciones, y ayudará a presionar más a los desarrolladores de aplicaciones para que respetar la privacidad. La transparencia adicional para todos (desarrolladores de aplicaciones, usuarios, reguladores) ayudará a todo el ecosistema móvil.



Una versión anterior de Mobilescope dio a los usuarios el poder de enviar datos falsos a ciertas aplicaciones, por ejemplo, enviar una ubicación falsa. Tuvimos que sacar eso porque el ecosistema no está listo para eso, dice Soltani, quien dice que esto rompió algunas aplicaciones, a veces de formas que podrían dañar a otros usuarios. Un proyecto separado pone esa táctica a disposición de los usuarios de Android que deseen usar una versión modificada de su sistema operativo (consulte Use su aplicación, Conserve sus datos).

En abril, Xuxian Jiang , profesor asociado de la Universidad Estatal de Carolina del Norte, publicó un estudio que muestra que los sistemas de anuncios incluidos en muchas aplicaciones de Android ponen en peligro la privacidad de los usuarios. Aproximadamente la mitad de estos sistemas monitorean la ubicación GPS de un usuario, y algunos también recopilan registros de llamadas y otros datos confidenciales (consulte los anuncios de Android podrían atacar, advierte un estudio).

Jiang, quien ha descubierto otras fallas de seguridad y privacidad con las aplicaciones móviles, dijo que Mobilescope será una nueva herramienta interesante para controlar las aplicaciones. Sin embargo, agrega que no se puede garantizar que capture todo, y dice que la privacidad móvil solo se puede mejorar con una mayor transparencia por parte de los desarrolladores, declaraciones de privacidad mejoradas y acciones de los creadores de sistemas operativos móviles. [Necesitamos] mecanismos para que los usuarios controlen realmente el acceso de las aplicaciones a información personal diversa, dice.



Justin Brookman , quien dirige la actividad de privacidad del consumidor en el Centro para la Democracia y la Tecnología, dice que esto requerirá cambios en la ley, que actualmente simplemente alienta a las empresas a redactar políticas de privacidad muy amplias para evitar las sanciones por escribir políticas falsas.

Las revelaciones detalladas son en realidad disuadidas por la ley, dice. El CDT está intentando que se introduzca una legislación que, en cambio, requiera que las empresas le digan explícitamente a los consumidores lo que está sucediendo con sus datos y que les brinden un mayor control sobre ellos.

esconder