Cómo los desarrolladores de aplicaciones dejan la puerta abierta a la vigilancia de la NSA

La noticia de que la Agencia de Seguridad Nacional ha recopilado durante años datos personales filtrados de aplicaciones móviles como Angry Birds provocó una nueva ola de comentarios sobre el alcance del alcance de la NSA ayer. Sin embargo, la NSA y su equivalente en el Reino Unido, GCHQ, apenas tuvieron que romper mucho terreno técnico para absorber esos datos. Pocas aplicaciones móviles implementan tecnología de encriptación para proteger los datos que envían a través de Internet, por lo que las agencias podrían recopilar y decodificar trivialmente esos datos utilizando su acceso existente a las redes de Internet.





Documentos vistos y publicados por el New York Times y guardián Los periódicos muestran que la NSA y la GCHQ pueden recopilar información como la edad, la ubicación y la orientación sexual de una persona a partir de los datos enviados a través de Internet por las aplicaciones. Dichos datos personales están incluidos en los datos que las aplicaciones envían a las empresas que los mantienen y respaldan. Esto incluye datos enviados a empresas que publican y orientan anuncios en aplicaciones móviles.

Esto es evidencia de niveles negligentes de inseguridad por parte de las empresas de aplicaciones, dice Peter Eckersly , director de proyectos tecnológicos de la Electronic Frontier Foundation. Eckersly dice que sus esfuerzos por persuadir a las empresas de tráfico web seguro muestra un desprecio generalizado por los riesgos de enviar datos de personas a través de Internet sin protección contra la interceptación. La mayoría de las empresas no tienen una razón legítima para no proteger esos datos, dice Eckersly. A menudo, la seguridad y la privacidad de sus usuarios está tan abajo en la lista de prioridades que ni siquiera han pensado en hacerlo.

A Estudio de 2012 de 13.500 aplicaciones de Android realizadas por investigadores en Alemania encontraron que solo el 0,8 por ciento usaba conexiones cifradas exclusivamente, y que el 43 por ciento no usaba cifrado alguno. La semana pasada, la empresa de seguridad de aplicaciones móviles MetaIntell informó que el 92 por ciento de las 500 aplicaciones de Android más populares comunicaron algunos datos de manera insegura.



A menudo es difícil saber si una aplicación utiliza cifrado o no para transmitir datos. Los navegadores web muestran un icono de candado junto a la dirección web de un sitio si utiliza cifrado, pero no existe tal equivalente para las aplicaciones móviles. La verificación manual de si una aplicación móvil está asegurando las transferencias de datos implica inspeccionar los registros de la red para examinar cómo se conecta una aplicación a los servidores.

Los documentos publicados el lunes señalan que Google Maps filtra datos particularmente útiles para fines de vigilancia. Los documentos de la NSA y GCHQ señalan cómo las consultas de búsqueda interceptadas desde esta aplicación pueden revelar los movimientos de una persona. Un documento de 2008 de GCHQ establece que un sistema configurado para interceptar esos datos de manera efectiva significa que cualquier persona que use Google Maps en un teléfono inteligente está trabajando para respaldar un G.C.H.Q. sistema.

Google estableció el cifrado como predeterminado para su búsqueda en la Web en septiembre pasado, pero no publica cuáles de sus aplicaciones móviles utilizan cifrado. Un portavoz de la empresa dijo Revisión de tecnología del MIT que las versiones actuales de la aplicación Google Maps usan encriptación para proteger los datos enviados a los servidores de la empresa. Eso sugiere que las agencias de inteligencia ya no pueden ver los lugares que la gente busca interceptando el tráfico de Internet.



Los documentos filtrados también destacan cómo la tecnología de orientación de anuncios integrada en muchas aplicaciones puede filtrar información personal. Muchas empresas de aplicaciones utilizan tecnología de empresas publicitarias de terceros que recopilan y transmiten datos de seguimiento y orientación de anuncios (consulte Empresas de anuncios móviles buscan nuevas formas de rastrearlo y prepararse para anuncios que lo siguen de un dispositivo a otro ).

A menudo, esos datos contienen datos de perfil sobre una persona, como el sexo, la edad aproximada y la ubicación. Un informe de GCHQ de 2012 detalla la tecnología diseñada para extraer dichos perfiles de los datos transmitidos por el juego Angry Birds. El análisis de MetaIntell de la versión actual de Android de esa aplicación descubrió que envía datos sin cifrar a AdMob, la empresa de publicidad móvil propiedad de Google. El informe de 2012 también destaca a la empresa de publicidad Milenario , que recopila perfiles que también pueden incluir el origen étnico, el estado civil y la orientación sexual de una persona. Un portavoz de Millennial dijo Revisión de tecnología del MIT que la empresa solo puede ver los datos que sus socios tienen permiso para recopilar de sus usuarios y que los anuncios no están dirigidos en función de la orientación sexual.

Las empresas de tecnología publicitaria como Millennial tienen menos incentivos para dedicar tiempo a proteger los datos que transmiten que los fabricantes de aplicaciones porque trabajan entre bastidores. Parece particularmente improbable que las empresas publicitarias hagan uso del cifrado, dice un investigador independiente Ashkan Soltani . Contribuyó a un Encuesta de 2010 de la privacidad y seguridad de las aplicaciones móviles por parte del Wall Street Journal que encontró que la mayoría de los datos enviados por las aplicaciones no estaban protegidos por encriptación. La mayoría de las plataformas publicitarias no lo admiten.



Marc Rogers, investigador principal de seguridad de la empresa de seguridad móvil Estar atento , dice que las noticias del lunes podrían ayudar a cambiar las cosas. Como industria, los desarrolladores de aplicaciones móviles y especialmente los anunciantes móviles deberán cambiar su comprensión de lo que debe considerarse sensible para incluir cualquier información personal enviada por cable, dice.

Si eso no sucede, no será debido a las cargas técnicas y financieras. Con el estado de la tecnología actual, a ninguna aplicación móvil se le debe dar un pase para implementar el cifrado adecuado, dice Rogers.

esconder