Las aplicaciones de iPhone, incluidas Facebook, LinkedIn, TikTok y X/Twitter, están eludiendo las reglas de privacidad de Apple para recopilar datos de los usuarios a través de notificaciones, según pruebas realizadas por investigadores de seguridad en almizcle inc., una empresa de desarrollo de aplicaciones. A veces los usuarios cierran aplicaciones para evitar que recopilen datos en segundo plano, pero esta técnica evita esa protección. Los datos son innecesarios para procesar notificaciones, dijeron los investigadores, y parecen estar relacionados con análisis, publicidad y seguimiento de usuarios en diferentes aplicaciones y dispositivos.
Es normal que las aplicaciones encuentren opor tunidades para colarse en una mayor recopilación de datos, pero “nos sorprendió saber que esta práctica se usa ampliamente”, dijo Tommy Mysk, quien realizó las pruebas junto con Talal Haj Bakry. “¿Quién habría pensado que una acción inofensiva tan simple como descartar una notificación desencadenaría el envío de una gran cantidad de información única del dispositivo a servidores remotos? Es preocupante si se piensa en el hecho de que los desarrolladores pueden hacer eso bajo demanda”.
Estas aplicaciones en particular no son malos actores inusuales. Según los investigadores, es un problema generalizado que afecta al ecosistema del iPhone.
Esta no es la primera vez que las pruebas de Mysk descubren problemas de datos en Apple, que ha gastado millones de dólares para convencer al mundo de que “lo que sucede en tu iPhone, permanece en tu iPhone”. En octubre de 2023, Mysk descubrió que una función elogiada del iPhone destinada a proteger los detalles sobre su dirección WiFi no es tan privado como promete la empresa. En 2022, Apple se vio afectada por más de una docena de demandas colectivas después de que Gizmodo informara sobre el hallazgo de Mysk de que Apple recopila datos sobre sus usuarios incluso después de activar el interruptor de la configuración de privacidad de un iPhone que promete “deshabilitar por completo el intercambio de análisis de dispositivos”.
Los datos parecen información que se utiliza para “tomar huellas dactilares”, una técnica que las empresas utilizan para identificarlo basándose en varios detalles aparentemente inofensivos sobre su dispositivo. La toma de huellas dactilares elude las protecciones de privacidad para rastrear a las personas y enviarles anuncios dirigidos, y Apple prohíbe explícitamente a las empresas hacerlo. Los iPhone y otros productos Apple tienen muchas configuraciones y reglas que se supone que le dan control sobre cuándo las empresas pueden identificarlo y recopilar datos.
Por ejemplo, las pruebas mostraron que cuando interactúas con una notificación de Facebook, la aplicación recopila direcciones IP, la cantidad de milisegundos des de que se reinició tu teléfono, la cantidad de espacio de memoria libre en tu teléfono y una serie de otros detalles. Combinar datos como estos es suficiente para identificar a una persona con un alto nivel de precisión. Las otras aplicaciones de la prueba recopilaron información similar. LinkedIn, por ejemplo, utiliza notificaciones para recopilar en qué zona horaria te encuentras, el brillo de tu pantalla y qué operador de telefonía móvil estás utilizando, así como una serie de otra información que parece estar específicamente relacionada con campañas publicitarias, dijo Mysk.
El hecho de que una aplicación pueda recopilar esta información no significa que la esté utilizando.
Meta, propietaria de Facebook, dijo que las conclusiones de Mysk son una mala interpretación. “Los hallazgos no son precisos. Las personas inician sesión en nuestra aplicación en su dispositivo y dan permiso para habilitar las notificaciones”, dijo Emil Vázquez, portavoz de Meta. “Podemos utilizar periódicamente esta información, incluso cuando la aplicación no se está ejecutando, para ayudarnos a entregar notificaciones oportunas y confiables, utilizando las API de Apple. Esto es consistente con nuestras políticas”.
LinkedIn compartió una declaración similar. “No estamos aprovechando las notificaciones como una forma de recopilar datos de los miembros para publicidad o análisis relacionados, ni para el seguimiento entre dispositivos o aplicaciones”, dijo un portavoz de LinkedIn. “Cualquier información relacionada con las notificaciones solo se utiliza para confirmar que una notificación se envió correctamente y nunca se comparte externamente”. Apple, TikTok y X/Twitter no respondieron de inmediato las preguntas de Gizmodo para este artículo.
Estos detalles no son particularmente sensibles en comparación con cosas como los datos de ubicación, pero son valiosos para publicidad y otros fines. Lo que mucha gente no se da cuenta es que la publicidad dirigida y otras invasiones de la privacidad digital tienen que ver con descubrir su identidad. Las empresas saben lo que estás haciendo en sus aplicaciones, pero no siempre saben quién eres y los datos son mucho menos útiles si no sabes de quién es. Si las empresas no pueden identificarlo, no pueden dirigirse a usted con anuncios.
Apple proporciona un número de identificación de publicidad especial diseñado específicamente para facilitar la recopilación de datos y la publicidad dirigida, pero configuraciones como la del iPhone “Solicitar a la aplicación que no realice un seguimiento“Controla bloquear ese ID de anuncio. En teoría, se supone que esto evitará que las empresas vinculen información sobre usted y su comportamiento de diferentes aplicaciones y otras partes de Internet. Pero la toma de huellas dactilares es una forma furtiva de seguir haciéndolo de todos modos.
Las aplicaciones pueden recopilar este tipo de datos sobre usted cuando están abiertas, pero se supone que cerrar una aplicación corta el flujo de datos y detiene la ejecución de una aplicación. Sin embargo, parece que las notificaciones proporcionan una puerta trasera.
Apple proporciona software especial para ayudar a sus aplicaciones a enviar notificaciones. Para algunas notificaciones, es posible que la aplicación necesite reproducir un sonido o descargar texto, imágenes u otra información. Si la aplicación está cerrada, el sistema operativo del iPhone permite que la aplicación se active temporalmente para comunicarse con los servidores de la empresa, enviarle la notificación y realizar cualquier otra tarea necesaria. La recopilación de datos que Mysk detectó ocurrió durante este breve período.
“Pueden enviar intencionalmente una notificación a un dispositivo específico solo para que la aplicación se inicie en segundo plano y envíe detalles”, dijo Mysk. O si una empresa como TikTok o X/Twitter quisiera una actualización rápida de las direcciones IP de 100.000 personas que tienen sus aplicaciones cerradas, bastaría con una notificación rápida. “Es alucinante”, dijo.
Es perfectamente razonable que una aplicación quiera analizar cómo los usuarios interactúan con las notificaciones para optimizar sus servicios. Sin embargo, Mysk dijo que hay algunas razones para pensar que no es por eso que las aplicaciones recopilan estos datos.
Por un lado, Apple proporciona detalles a los desarrolladores de aplicaciones sobre lo que sucede con las notificaciones directamente, por lo que no es necesario recopilar información adicional si sabe qué sucedió después de hacer ping a sus usuarios. Además, muchos de los datos que recopilan las aplicaciones parecen no estar relacionados con el análisis de qué tan bien funcionan las notificaciones, como el espacio disponible en el disco de su teléfono o el tiempo desde el último reinicio, dijo Mysk.
Más allá de eso, otras empresas ávidas de datos envían notificaciones sin aprovechar toda esta otra información. Cuando Mysk probó Gmail y YouTube, por ejemplo, las aplicaciones solo recopilaron datos que obviamente estaban relacionados con el procesamiento de notificaciones. Mysk dijo que si una empresa como Google puede enviarle una notificación sin espiar otros detalles, eso sugiere que hay motivos ocultos para la recopilación de datos que detectó.
Hay algunas explicaciones potencialmente inocentes para el problema de los datos de las notificaciones. Por ejemplo, los desarrolladores a veces dejan código antiguo en sus aplicaciones que realiza funciones que las empresas ya no necesitan. En teoría, es posible que una aplicación como LinkedIn esté configurada para recopilar datos que no se utilizan para ningún propósito. Sin embargo, los investigadores dijeron que eso es difícil de creer.
“Es como recolectar una pila de cuchillos”, dijo Mysk. “No significa necesariamente que estés matando gente. Tal vez sólo estés sirviendo la cena”.
Hay un próximo cambio en las reglas del sistema operativo del iPhone que podría mejorar la situación, pero no está claro si resolverá el problema. A partir de la primavera de 2024, los desarrolladores de aplicaciones podrán requerido para explicar por qué y cómo están usando ciertas “API”, que, en este contexto, son esencialmente piezas de software que las aplicaciones utilizan para comunicarse entre sí y con el sistema operativo del iPhone.
En teoría, eso podría obligar a las empresas a revelar por qué lo vigilan y, si recopilan datos con fines ilegítimos, tal vez tengan que dejar de hacerlo. “La mala noticia es que no está claro cómo Apple va a aplicarlo”, dijo Mysk.
Desafortunadamente, es posible que hayas oído que las grandes empresas a veces mienten, lo que obstaculizaría esa solución, y Apple no tiene un historial estelar de hacer cumplir reglas similares.