Por lo general, si alguien está instalando una VPN o un bloqueador de anuncios en su teléfono móvil, lo está haciendo para aumentar su privacidad. Pero varias aplicaciones distribuidas por una empresa de análisis que ocultó su conexión con ellos han estado haciendo exactamente lo contrario, en lugar de sifonear datos de millones de usuarios, según un nuevo informe.
BuzzFeed News informa que las aplicaciones provienen de Sensor Tower, una firma que se presenta a sí misma como “el proveedor líder de inteligencia de mercado y conocimientos para la economía global de aplicaciones”. La empresa analiza el uso de aplicaciones en todas las plataformas para, por ejemplo, enumerar las aplicaciones más taquilleras en todas las plataformas en un mes determinado. (Spoiler: Aparentemente siempre es Tinder.)
Sensor Tower, fundada en 2013, ha publicado al menos 20 aplicaciones para Android e iOS en los últimos cinco años, como Luna VPN y Adblock Focus. BuzzFeed encontró que varias de estas aplicaciones, en algún momento después de la instalación, solicitan a los usuarios instalar un certificado raíz para acceder a las características. Por ejemplo, Luna VPN proporciona a los usuarios un mensaje para agregar una extensión para bloquear anuncios en YouTube. El siguiente paso lleva a los usuarios a un sitio web externo para descargar e instalar el certificado, haciendo así una ejecución final alrededor de las restricciones de Google y Apple.
Muchos usuarios no se dan cuenta necesariamente de las implicaciones de conceder a cualquier empresa ese nivel de acceso a su dispositivo, un analista con Malwarebytes señaló a BuzzFeed, especialmente cuando la solicitud es parte del uso de la aplicación después de la etapa de instalación.
Sensor Tower también oculta su conexión con las aplicaciones en público. Luna VPN, por ejemplo, aparece en Google Play Store según lo distribuido por Emban Networks (que no tiene otras aplicaciones en la lista). Del mismo modo, Adblock Focus es aparentemente el único producto distribuido por Orbital Software, Inc.
Sensor Tower le dijo a BuzzFeed que solo recopila datos de uso y análisis anónimos, que luego integra en los productos de “inteligencia” que vende a desarrolladores, inversores y otras entidades. La compañía también afirmó no recopilar datos confidenciales o información de identificación personal de los usuarios. Dado lo fácil que los investigadores han sido capaces de identificar a los usuarios de datos teóricamente anónimos una y otra vez en la última década, sin embargo, uno puede preguntarse qué tan bien se sostiene esa afirmación.
La mayoría de las aplicaciones de la empresa ya no están disponibles en iOS App Store o Google Play Store. Sensor Tower le dijo a BuzzFeed que estaba “en el proceso de puesta del sol”. Un portavoz de Apple, sin embargo, le dijo a BuzzFeed que una docena de las aplicaciones de la compañía se eliminaron previamente de la App Store de iOS por infracciones de las políticas. Después de ser contactado por BuzzFeed, Apple sacó Adblock Focus y dijo que estaba investigando Luna VPN.
Google también eliminó una aplicación de Sensor Tower, Mobile Data, de su tienda en línea después de ser contactado por BuzzFeed y dijo que estaba investigando a los demás.