Aplicativo de Cripto popular encontrado com vínculos com empresa de rastreamento de dados: relatório

As versões para Android do popular aplicativo de Criptomoeda Bitcoin Ticker Widget e um clone aparente do Steemit, o Steemit Earn Money, incluíam ferramentas de kit de desenvolvimento de software (SDK) que extraíam dados extensos sobre usuários no passado e estão potencialmente vinculadas ao código de rastreamento de localização da X-Mode, uma notória empresa de rastreamento de dados, de acordo com umnovo relatório do Express VPN Digital Security Lab. Dois outros aplicativos de Finanças pessoais também continham esses rastreadores de dados.

“Queríamos dizer aos consumidores: ‘Este é um problema enorme; vocês podem não estar cientes disso’”, disse Sean O’Brien, pesquisador principal daLaboratório de Segurança Digital ExpressVPN. “Embora esses aplicativos T sejam todos grandes marcas, eles foram baixados 1,7 bilhão de vezes, coletivamente, e milhões de vezes para cada aplicativo individual. Eles estão rodando nos telefones das pessoas em seus bolsos. As pessoas os estão usando para namoro, social e finanças, mas não estão totalmente cientes da quantidade de dados que estão sendo coletados.”

Coleta de dados pessoais

Embora existam muitas empresas que compram e vendem acesso a dados de localização coletados de telefones de pessoas desavisadas, a X-Mode ficou sob escrutínio depois que seus laços com contratantes do governo e os militares foram revelados.

Em novembro de 2020,Vice relatouO X-Mode estava obtendo dados de localização detalhados de vários aplicativos de oração muçulmanos e, em seguida, vendendo esses dados “para contratados e, por extensão, para os militares”.

Leia Mais: De SIM-Swaps a ameaças de invasão domiciliar, o vazamento do Ledger tem consequências em cascata

Este novo relatório, uma investigação muito mais abrangente sobre o assunto, descobriu que o código X-Mode estava em 44% dos 450 aplicativos analisados, e esses aplicativos foram baixados pelo menos um bilhão de vezes.

“Esses aplicativos são globais e incluem aplicativos de saúde e clima, jogos e filtros de maquiagem para fotos”, diz o relatório.

“Eles estão rodando nos celulares das pessoas em seus bolsos. As pessoas os estão usando para namoro, socialização e finanças, mas não estão totalmente cientes da quantidade de dados que estão sendo coletados.”

Enquanto o Steemit Earn Money foi baixado apenas cerca de 100 vezes, o Bitcoin Ticker Widget foi baixado mais de 1 milhão de vezes.

Em dezembro, a Apple e o Google disseram aos desenvolvedores pararemover X-Mode de seus aplicativos ou seriam banidos de suas lojas de aplicativos, mas até o final de janeiro, o relatório descobriu que muitos aplicativos ainda não estavam em conformidade, o que foi confirmado pelo TechCrunch em pelo menos um caso.

No geral, o estudo examinou 450 aplicativos Android para rastreadores de dados.

SDKs e corretores de dados do X-Mode

SDKs são ferramentas fundamentais que tornam mais rápido e fácil para os desenvolvedores criarem aplicativos. Dito isso, essas ferramentas podem conter código que T é necessário para a função CORE de um aplicativo. Esse código extra pode rastrear a localização, extrair dados e, geralmente, retransmitir informações de volta ao criador do SDK. Essas informações podem então ser compartilhadas ou vendidas para serem usadas para uma variedade de propósitos.

Quando os usuários baixam um aplicativo e aceitam seus termos de serviço e Política de Política de Privacidade , eles podem estar inadvertidamente optando por essas formas de coleta de dados, mesmo que não sejam informados exatamente em quais mãos os dados podem acabar. Esses tipos de práticas são comuns no mundo da publicidade direcionada, mas, como foi documentado anteriormente, os dados também podem acabam nas mãos das autoridades policiais(mesmo sem mandado), caçadores de recompensas e outros.

Leia Mais: Como um processo contra o IRS está tentando expandir a Política de Privacidade para usuários de Cripto

“Dentro do X-Mode SDK, há referências de código para cinco provedores de dados”, disse O’Brien. “Essas são outras entidades que as pessoas chamam vagamente de ‘corretores de dados’. Às vezes, eles estão realmente vendendo dados e às vezes não. Embora seja um pouco complexo, essas cinco entidades são basicamente marcas bem conhecidas neste espaço de vigilância de localização.”

“O que parece estar ocorrendo por causa do que está no código é que esses provedores de dados têm algum tipo de relacionamento comercial com o X-mode, atual ou anterior”, disse O’Brien. “E se eles estiverem habilitados nesses aplicativos, esses provedores também estão obtendo algumas informações do aplicativo que tem o SDK do X-mode.”

OneAudience, Opensignal e rastreamento de dados de localização

OneAudience, incluído no Bitcoin Ticker Widget e no Steemit Earn Money, era um rastreador de “corretor de dados” referenciado no código do X-Mode como parte do SDK. Foi objeto de uma proibição e ação judicial do Facebook sobre violações de Política de Privacidade de dados devido aos dados coletados pelo SDK do OneAudience.

Em fevereiro de 2020, o Twitter e o Facebook alegaram que “a OneAudience estava coletando dados privados, como nomes de pessoas, gêneros, e-mails, nomes de usuários e potencialmente os últimos tweets das pessoas” a tal ponto que foi comparado aoCambridge Analíticaescândalo. O SDK foi fechado no final de 2019.

Outro rastreador de dados, o Opensignal, funciona principalmente como um mapeador de WiFi, por meio do qual a localização dos usuários pode ser determinada.

Em seu processo contra a OneAudience,de acordo com Recode, O Facebook argumentou que “o OneAudience também pagou aplicativos para coletar informações do Google e do Twitter dos usuários quando eles faziam login em um dos aplicativos comprometidos usando suas informações de conta do Google ou do Twitter”.

Leia Mais: Este malware evasivo tem como alvo carteiras de Cripto há um ano

A OneAudience, ao encerrar o SDK que era o assunto do processo, disse: “Fomos avisados de que informações pessoais de centenas de IDs móveis podem ter sido passadas para nossa plataforma OneAudience. Esses dados nunca foram destinados a serem coletados, nunca foram adicionados ao nosso banco de dados e nunca foram usados.”

O modelo de negócios da Opensignal, por outro lado, depende principalmente de seu caso de uso de mapeamento de Wi-Fi.

“‘A questão é: quanto dos dados de Wi-Fi eles estão coletando?’’ perguntou O’Brien.

Em seuPolítica de Política de PrivacidadeA Opensignal afirma que coleta dados de geolocalização, “tipo de rede, operadora de rede, intensidade e qualidade do sinal de celular e WiFi, e os identificadores de torres de celular e roteadores WiFi conectados”.

OneAudience não respondeu a uma Request de comentário. Opensignal, em resposta a uma Request de comentário, direcionou os leitores para sua Carta de Política de Privacidade de Dados.

Uma 'quantidade rica' de dados pessoais

Dando um passo para trás e analisando o relatório e o tráfego de rede desses aplicativos, O'Brien tem duas grandes conclusões quando se trata do impacto na Política de Privacidade dos seus dados.

“Normalmente, os dados não estão sendo muito bem manipulados”, ele disse. “E há uma grande quantidade de dados que podem ser usados como um identificador para uma pessoa que está passando pelo cano, mesmo que a localização seja a única razão nomeada para os dados estarem sendo coletados.”

Se você escolher KEEP usando aplicativos como Bitcoin Ticker Widget e Steemit Earn Money, há maneiras de limitar suas capacidades de rastreamento de dados. O'Brien disse que os usuários devem ir para as configurações e verificar as permissões para o aplicativo, especialmente as permissões de localização, e revogá-las.

“Isso pode significar que o aplicativo se torna menos funcional ou exibe telas irritantes pedindo permissão”, ele disse. “Caso contrário, infelizmente, a única outra etapa é remover o aplicativo. Se você for um residente da Califórnia ou [União Europeia], pode haver algumas outras etapas a serem seguidas em relação à solicitação de exclusão de informações ou, pelo menos, à solicitação de uma cópia das informações que eles têm.”