No puedes confiar en las afirmaciones de privacidad de los desarrolladores de aplicaciones en Google Play
Básicamente, es imposible realizar un seguimiento de lo que están haciendo todas sus aplicaciones móviles y qué datos comparten con quién y cuándo. Entonces, en los últimos dos años, Apple y Google agregaron mecanismos a sus tiendas de aplicaciones que pretenden actuar como una especie de etiqueta nutricional de privacidad, brindando a los usuarios una idea de cómo se comportan las aplicaciones y qué información pueden compartir. . Estas herramientas de transparencia, sin embargo, se completan con información autoinformada de los propios desarrolladores de aplicaciones. Es un nuevo estudio Centrarse en la información de seguridad de datos en Google Play indica que los detalles que proporcionan los desarrolladores a menudo son inexactos.
Los investigadores del grupo de software sin fines de lucro Mozilla analizaron la información de seguridad de los datos de las 40 aplicaciones más descargadas de Google Play y calificaron estas divulgaciones de privacidad como «pobres», «necesita mejorar» o «OK». Las calificaciones se basaron en el grado en que la información de seguridad de datos se alineaba o no con la información de la política de privacidad de cada aplicación. Dieciséis de las 40 aplicaciones, incluidas Facebook y Minecraft, recibieron la puntuación más baja por sus divulgaciones de seguridad de datos. Quince aplicaciones recibieron una puntuación media. Esto incluía las aplicaciones propiedad de Meta, Instagram y WhatsApp, pero también YouTube, Google Maps y Gmail, propiedad de Google. Seis de las aplicaciones recibieron la calificación más alta, incluidas Google Play Games y Candy Crush saga.
“Cuando vas a la página de la aplicación de Twitter o TikTok y haces clic en Seguridad de datos, lo primero que ves es que estas empresas afirman que no comparten datos con terceros. Esto es ridículo: inmediatamente sabes que algo anda mal”, dice Jen Caltrider, líder del proyecto en Mozilla. “Como investigador de privacidad, me di cuenta de que esta información no ayudaría a las personas a tomar decisiones informadas. Además, una persona común que lo leyera sin duda saldría con una falsa sensación de seguridad”.
Google requiere que todos los desarrolladores de aplicaciones que envían a Google Play completen el formulario de seguridad de datos. La razón es que los desarrolladores son los que tienen la información sobre cómo su producto maneja los datos e interactúa con otras partes, no la tienda de aplicaciones que facilita la distribución.
“Si descubrimos que un desarrollador ha proporcionado información inexacta en su formulario de seguridad de datos y viola la política, le pediremos que corrija el problema para cumplir. Las aplicaciones que no cumplen están sujetas a acciones de cumplimiento”, Google contado investigadores de Mozilla. La empresa no respondió a las consultas de WIRED sobre la naturaleza de estas acciones de cumplimiento o con qué frecuencia se tomaron.
Sin embargo, Google refuta la metodología de los investigadores. «Este informe combina las políticas de privacidad de toda la empresa destinadas a cubrir una variedad de productos y servicios con etiquetas de seguridad de datos individuales, que informan a los usuarios sobre los datos que recopila una aplicación específica», dice la empresa en un comunicado. «Los puntajes arbitrarios de la Fundación Mozilla asignados a las aplicaciones no son una medida útil de la seguridad o precisión de las etiquetas, dada la metodología defectuosa y la falta de información sustancial».
En otras palabras, Google dice que los investigadores de Mozilla malinterpretaron el alcance de las políticas de privacidad que estaban analizando, o incluso analizaron las políticas equivocadas. Pero los investigadores dicen que las políticas de privacidad que usaron en su análisis son las políticas exactas a las que cada desarrollador de aplicaciones vincula en Google Play, lo que indica que se aplican a las aplicaciones en cuestión.
“La propia respuesta de Google a nuestra encuesta destaca el problema exacto que destacamos”, dice Caltrider de Mozilla. “¿En qué información deben confiar los consumidores si la información autoinformada por los desarrolladores de aplicaciones en la sección Seguridad de datos difiere de las políticas de privacidad vinculadas en la misma página de la aplicación? En última instancia, nuestro objetivo es ayudar a Google a proporcionar a los consumidores lo que necesitan para tomar decisiones informadas sobre su privacidad. Esto comienza con Google mejorando su información de seguridad de datos”.
El informe también muestra cómo la forma actual de seguridad de datos de Google crea puntos ciegos y oportunidades para que los desarrolladores omitan información sobre cómo se comportan sus aplicaciones y comparten datos de usuarios. Por ejemplo, el formulario tiene amplias exenciones para que los desarrolladores de aplicaciones informen sobre el intercambio de datos con «proveedores de servicios» y para «fines legales específicos». Y los investigadores encontraron que las definiciones que usa Google para las palabras «recopilación» y «compartir» son limitadas, lo que significa que es posible que los desarrolladores no estén obligados a informar actividades que los usuarios considerarían como recopilación e intercambio de datos. Además, los investigadores señalan que Google no requiere que los desarrolladores de aplicaciones divulguen la recopilación de datos cuando la información se anonimiza. Esto es notable debido a los debates sobre si es realmente posible anonimizar los datos, así como a una larga historia de desarrolladores de aplicaciones que cometen errores o usan esquemas defectuosos en sus intentos de anonimizar los datos.
Los investigadores de Google y Mozilla señalan que el mecanismo de seguridad de datos de Google Play aún es nuevo. Y los investigadores dicen que se puede refinar para que sea un indicador valioso para los usuarios. Sin embargo, sin una reforma urgente, argumentan que la información de seguridad de datos está haciendo más daño que bien, dando a los usuarios una imagen de privacidad inexacta de lo que sucede dentro de sus aplicaciones.