La tienda oficial de aplicaciones Play Store de Google es aparentemente inofensiva. Sin embargo, la compañía ha retirado varias plataformas que se encargaban de recopilar datos de los usuarios en secreto a través de un código, según una investigación.
Lo más alarmante de la situación es que los que quebrantaban la privacidad de los internautas no eran ciberdelincuentes. Por lo contrario, el código estaba relacionado con una compañía que, a su vez, está relacionada con un proveedor de ciberinteligencia de la Defensa de EEUU.
Serge Egelman y Joel Reardon, de la Universidad de Berkeley y de la Universidad de Calgary, que estaban comprobando si las apps de Android cumplían con sus garantías de seguridad, descubrieron que la empresa detrás del código es panameña y recibe el nombre de Measurement Systems. Esta compañía está ligada con un contratista de algunas agencias de seguridad estadounidenses.
Esta información recopilada fue compartida con los reguladores de la privacidad federales y también con The Wall Street Journal. En el periódico, se informa de que la firma panameña pagó a algunos desarrolladores de diferentes partes del mundo para que añadiesen el código a sus aplicaciones.
En un principio, los desarrolladores no sabían en qué consistía el código. Pero aceptaban el kit de desarrollo (SDK) de Measurement Systems a cambio de dinero. De este modo, la empresa podía recopilar información de millones de usuarios que tenían instaladas apps muy diversas en sus dispositivos.
Egelman detalla que el uso de códigos de SDK está bastante extendido entre las aplicaciones disponibles en la Play Store. Además, el investigador asegura que muchas veces estos kits de desarrollo “no son auditados” ni bien “entendidos” por los desarrolladores, pero igualmente crean soluciones informáticas con los paquetes.
Tanto Egelman como Reardon coinciden en apuntar el SDK de Measurement Systems como el “más invasivo” que han visto en los seis años que llevan dedicándose a la auditoría de seguridad y privacidad de las apps. “Puede calificarse como malware”, afirman desde la compañía de la que son fundadores, App Census.
El código era capaz de mapear las redes WiFi, acceder a los archivos descargados de chats de WhatsApp, de leer lo que el usuario copiaba y pegaba en su portapapeles, y de robar algunas contraseñas.
La actuación de Google
Un portavoz de Google ha notificado que las plataformas con el código fueron retiradas de Play Store el 25 de marzo. Según cuentan, el SDK quebranta las normas de privacidad de la plataforma, pero los desarrolladores que actualicen y borren el código podrán volver a estar disponibles en la tienda de apps.
Aunque no se puedan descargar desde la Play Store, los expertos recuerdan que los usuarios que ya tienen instaladas las aplicaciones siguen con el código en sus móviles. App Census creen que las apps con el SDK continúan descargadas en aproximadamente 60 millones de dispositivos.
Entre las aplicaciones se encuentran apps para saber el límite de velocidad en las carreteras, para leer códigos QR o incluso para ayudar a rezar a los musulmanes. Concretamente, las apps afectadas que deberías borrar de tu móvil son:
- Speed Camera Radar
- Al-Moazin Lite (Prayer Times)
- Wi-Fi Mouse (remote control PC)
- QR & Barcode Scanner (developed by AppSource Hub)
- Qibla Compass - Ramadan 2022
- Simple weather & clock widget (developed by Difer)
- Handcent Next SMS-Text with MMS
- Smart Kit 360
- Al Quran MP3 - 50 Reciters & Translation Audio
- Full Quran MP3 - 50+ Languages & Translation Audio
- Audiosdroid Audio Studio DAW
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios