Menú principal

miércoles, 15 de febrero de 2012

Path enviaba los contactos sin consentimiento del usuario

Uno de los consejos que no se nos debe olvidar a la hora de instalar una aplicación es asegurarnos que esta sólo tiene permiso a los servicios/datos que necesita para su funcionamiento. Esto es una responsabilidad no sólo del usuario, que debe proteger la integridad de sus datos, sino también o sobre todo del desarrollador y de la empresa que hace esta aplicación. Esto se complica cuando la aplicación se instala en un terminal iOS en el que no se puede configurar demasiado la lista de permisos de la aplicación.  Así cuando existe una “feature” desconocida que permite acceder a estos servicios/datos si nuestra intervención o permiso salta el escándalo.

El asunto de Path, es uno de estos casos, ya que el investigador Arun Thampi, en un intento de realizar un port de la aplicación a Mac OS X, descubrió usando un proxy para analizar las peticiones que realizaba al API, que esta aplicación accede a la lista completa de los contactos para subir todos estos datos a sus servidores sin solicitar permiso para ello.

Figura 1: Petición que envía todos los contactos a los servidores de Path sin avisar

Tras el escándalo, los desarrolladores han explicado en su blog que esto lo hacían para mejorar la experiencia de usuario y han pedido disculpas, es decir, que querían facilitar el trabajo informándonos cada vez que uno de nuestros contactos se instalaba Path para que pudiéramos agregarlo a nuestra lista de amigos sin problemas. Y en su defensa alegan que estos datos son transmitidos mediante una conexión cifrada y que se almacenan de forma segura.

Ya sabemos que el caso de Path no es un caso aislado, de hecho muchas aplicaciones funcionan así, pero entendemos que no debería pasar en aplicaciones bajo el auspicio del Apple Store donde una de sus premisas es que “las aplicaciones no deben transmitir ningún tipo de datos sin el permiso explicito del usuario “.

La nueva versión de Path ha corregido este error, solicitando permiso al usuario para poder hacer uso o no de estos contactos. Ahora antes de aceptar un usuario precavido debería leerse la politica de privacidad para saber el uso que van a hacer de estos datos.

3 comentarios:

  1. Me encanta la forma en la que desarrolláis vuestros artículos. Sobre esto que ha ocurrido con Path, y bueno, otras apps en el pasado, os quería preguntar: ¿hay alguna forma para usuarios para saber fácilmente qué aplicaciones hacen uso indebido de nuestros datos?

    Es decir, yo, como usuario normal, no tengo ni idea de cómo averiguar si las aplicaciones guardan en un .plist datos, o si tienen un .sql por ahí escondido...

    Sería interesante descubrir un app (de Cydia, por supuesto) que permitiera hacer algo así como una auditoría interna a nuestro terminal.

    Aunque igual esto que digo es una utopía, ya que no tengo conocimientos avanzados de desarrollo o programación.

    ¡Gracias!

    ResponderEliminar
  2. Yo desconfio mucho de las apps gratuitas. Lo digo en el sentido de que no suele haber nada gratis y que lo que no se cobra monetariamente se tiene que cobrar por otro lado, por ejemplo recopilando determinada información del usuario para sacar un redito determinado. Soy consciente de que mi argumentación no impide que las apps de pago tambien realicen cosas "raras" pero me dan mas confianza. Es imprescindible leerse bien las condiciones de la licencia antes. ¡Será por apps!

    Saludos

    ResponderEliminar
  3. @Marce Catro, es difícil descubrir las funciones internas del software sin auditar el código. Para resolver esto siempre hay que hacer auditorías de caja negra y no siempre hay tiempo.

    Saludos!

    ResponderEliminar

Artículos relacionados

Otras historias relacionadas

Entradas populares