Los fundamentos de cómo funcionan las plataformas de análisis de la tienda de aplicaciones fueron expuestos esta semana por BuzzFeed, que descubrió la red de aplicaciones móviles utilizadas por la popular empresa de análisis Sensor Tower para acumular datos de aplicaciones. La compañía había operado al menos 20 aplicaciones, incluidas VPN y bloqueadores de anuncios, cuyo objetivo principal era recopilar datos de uso de la aplicación de los usuarios finales para hacer estimaciones sobre las tendencias de la aplicación y los ingresos. Desafortunadamente, este tipo de aplicaciones de recopilación de datos no son nuevas, ni exclusivas de Torre de sensores operación.
Se descubrió que Sensor Tower operaba aplicaciones como Luna VPN, por ejemplo, así como VPN gratuita e ilimitada, datos móviles y Adblock Focus, entre otras. Después de que BuzzFeed extendió la mano, manzana eliminó Adblock Focus y Google eliminó los datos móviles. Otros aún están siendo investigados, según el informe.
La recopilación de datos de uso de las aplicaciones ha sido un problema continuo en todas las tiendas de aplicaciones.
Facebook y Google han operado tales aplicaciones, no siempre de manera transparente, y la principal rival de Sensor Tower, la aplicación Annie, sigue haciendo lo mismo hoy.
Para Facebook su adquisición en 2013 del fabricante de aplicaciones VPN Onavo durante años sirvió como una ventaja competitiva. El tráfico a través de la aplicación le dio a Facebook una idea de qué otras aplicaciones sociales estaban creciendo en popularidad, por lo que Facebook podría clon sus características o adquirirlos directamente. Cuando finalmente Apple arrancado Onavo de la App Store media década después, Facebook simplemente trajo el mismo código en un nuevo contenedor, luego llamada la aplicación Facebook Research. Esta vez, fue un poco más transparente sobre su recopilación de datos, ya que la aplicación de Investigación era pagando por los datos.
Pero Apple también eliminó esa aplicación. Así que Facebook lanzó el año pasado Estudiar y Puntos de vista para promover sus esfuerzos de investigación de mercado y recopilación de datos. Estas aplicaciones todavía están activas hoy.
Google también fue atrapado haciendo algo similar a través de su aplicación Screenwise Meter
App Annie
App Annie, una empresa que compite directamente con Sensor Tower, ha adquirido compañías de datos móviles y ahora opera su propio conjunto de aplicaciones para rastrear el uso de aplicaciones bajo esas marcas.
En 2014, La aplicación Annie compró Distimoy, a partir de 2016, ha ejecutado Phone Guardian, una aplicación de "Wi-Fi seguro y VPN", bajo la marca Distimo.
La aplicación revela su relación con App Annie en su descripción de la App Store, pero sigue siendo vaga sobre su verdadero propósito:
“Con la confianza de más de 1 millón de usuarios, App Annie es el proveedor líder mundial de estimaciones de rendimiento móvil. En resumen, ayudamos a los desarrolladores de aplicaciones a crear mejores aplicaciones. Creamos nuestras estimaciones de rendimiento móvil al aprender cómo las personas usan sus dispositivos. Hacemos esto con la ayuda de esta aplicación ".
En 2015, La aplicación Annie adquirió Mobidia. Desde 2017, también ha operado el monitor de uso de datos en tiempo real My Data Manager bajo esa marca. La descripción de la App Store solo ofrece la misma divulgación imprecisa, lo que significa que los usuarios probablemente no estén al tanto de lo que están aceptando.
¿Divulgar?
El problema con aplicaciones como App Annie's y Sensor Tower's es que se comercializan como que ofrecen una función particular, cuando su verdadero propósito de existir es completamente diferente.
La defensa de las empresas de aplicaciones es que divulgan y requieren consentimiento durante la incorporación. Por ejemplo, las aplicaciones de Sensor Tower le dicen explícitamente a los usuarios qué se recopila y qué no:
Aplicación La aplicación Annie ofrece una divulgación similar y da el paso adicional de identificar a la empresa matriz por su nombre:
La aplicación Annie también dice que sus aplicaciones se pueden seguir utilizando incluso si el intercambio de datos está desactivado.
A pesar de estas opciones, los usuarios finales aún pueden no entender que su aplicación VPN está realmente vinculada a una operación de recopilación de datos mucho más grande, por muy anónimos que puedan estar los datos. Después de todo, App Annie y Sensor Tower no son nombres conocidos (a menos que sea un editor o comercializador de aplicaciones).
Responsabilidad de Apple y Google
Apple y Google, seamos justos, también son culpables aquí.
Por supuesto, Google es una recopilación más pro-datos debido a la naturaleza de su propio negocio como empresa de publicidad. (Incluso rastrea usuarios en el mundo real a través de la aplicación Google Maps).
Mientras tanto, Apple se comercializa como una empresa centrada en la privacidad, por lo que merece un mayor escrutinio.
Parece insondable que, siguiendo el escándalo de Onavo, Apple no habría echado un vistazo más de cerca a la categoría de aplicaciones VPN para asegurarse de que sus aplicaciones cumplían con sus reglas y eran transparentes sobre la naturaleza de sus negocios. En particular, parece que Apple habría prestado mucha atención a las aplicaciones operadas por compañías en el negocio de inteligencia de la tienda de aplicaciones, como App Annie y sus subsidiarias.
Apple seguramente sabe cómo estas empresas adquieren datos: es un conocimiento común de la industria. Además, las adquisiciones de App Annie se divulgaron públicamente.
Pero Apple está en conflicto. Quiere proteger el uso de la aplicación y los datos del usuario (y ser conocido para proteger dichos datos) al no proporcionar ninguna métrica más amplia de la tienda de aplicaciones propia. Sin embargo, también sabe que los editores de aplicaciones necesitan esos datos para operar de manera competitiva en la App Store. Por lo tanto, en lugar de ser proactivo para barrer la App Store para las utilidades de recopilación de datos, sigue siendo reactivo al extraer aplicaciones selectas cuando los medios las ponen en marcha, como BuzzFeed reporte des de entonces lo ha hecho. Eso le permite a Apple mantener un velo de inocencia.
Pero extraer datos de usuario directamente de forma encubierta es solo una forma de operar. Como Facebook y Google se han dado cuenta desde entonces, es más fácil ejecutar este tipo de operaciones en la App Store si las aplicaciones simplemente dicen, básicamente, "esta es una aplicación de recolección de datos" y / u ofrecen pagos por participación, como lo hacen muchas investigaciones de mercado. paneles. Esta es una relación más transparente desde la perspectiva del consumidor también, ya que saben que están de acuerdo en vender sus datos.
Mientras tanto, Sensor Tower y el competidor de App Annie, Apptopia, dicen que probaron y desecharon su propia aplicación de bloqueo de anuncios hace unos seis años, pero afirman que nunca recopilaron datos con ella. Ahora favorece obtener sus datos directamente de sus clientes desarrolladores de aplicaciones.
"Podemos afirmar con confianza que el 100% de los datos de propiedad que recopilamos proviene de Cuentas de análisis de aplicaciones compartidas donde los desarrolladores de aplicaciones comparten de manera proactiva y explícita sus datos con nosotros, y nos dan el derecho de usarlos para modelar", afirmó el cofundador de Apptopia y Director de Operaciones, Jonathan Kay. "No recopilamos ningún dato de paneles móviles, aplicaciones de terceros o incluso a nivel de usuario / dispositivo".
Este sistema (que también usan los demás) no es necesariamente una solución para los usuarios finales preocupados por la recopilación de datos, ya que oscurece aún más el proceso de recopilación y uso compartido. En general, los consumidores no saben qué desarrolladores de aplicaciones comparten estos datos, qué datos se comparten o cómo se utilizan. Los datos de aplicaciones de esta naturaleza no están en el nivel del usuario (lo que significa que no son datos personales), sino que se trata de informar al desarrollador cosas como instalaciones, usuarios diarios y mensuales e ingresos, entre otras cosas. (Afortunadamente, Apple permite a los usuarios deshabilitar el intercambio de algunos datos de diagnóstico y uso desde la configuración de iOS).
Sin embargo, la recopilación de datos realizada por empresas de análisis de aplicaciones es solo una de las muchas formas en que las aplicaciones pierden datos.
De hecho, muchas aplicaciones recopilan datos personales, incluidos datos que son mucho más confidenciales que las tendencias de uso de aplicaciones anónimas, a través de sus SDK incluidos (kits de desarrollo de software). Estas herramientas permiten que las aplicaciones compartan datos con numerosas empresas de tecnología, incluidas redes publicitarias, corredores de datos y agregadores, tanto grandes como pequeños. No es ilegal, y los usuarios principales probablemente tampoco lo sepan.
En cambio, la conciencia del usuario parece surgir a través de teorías de conspiración, como "Facebook está escuchando a través del micrófono" sin darse cuenta de que Facebook recopila tantos datos que realmente no necesita hacerlo. (Bueno, excepto cuando lo hace)
A raíz de los informes de BuzzFeed, Sensor Tower dice que está "tomando medidas inmediatas para hacer que la conexión de Sensor Tower a nuestras aplicaciones sea perfectamente clara y agregando aún más visibilidad sobre los datos que sus usuarios comparten con nosotros".
Google no está proporcionando un comentario oficial. Apple no respondió a las solicitudes de comentarios.
La declaración completa de Sensor Tower está a continuación:
Nuestro modelo de negocio se basa en tendencias macro de aplicaciones de alto nivel. Como tal, no recopilamos ni almacenamos ninguna información de identificación personal (PII) sobre los usuarios en nuestros servidores o en otros lugares. De hecho, según la forma en que están diseñadas nuestras aplicaciones, dichos datos se separan antes de que podamos verlos o interactuar con ellos, y todo lo que vemos son creatividades publicitarias que se muestran a los usuarios. Lo que almacenamos son datos publicitarios agregados de nivel extremadamente alto que pueden demostrar tendencias que compartimos con los clientes.
Nuestra política de privacidad sigue las mejores prácticas y deja claro el uso de nuestros datos. Queremos reiterar que nuestras aplicaciones no recopilan ninguna PII y, por lo tanto, no se pueden compartir con ninguna otra entidad, Sensor Tower o de otra manera. Hemos dejado esto muy claro en nuestra política de privacidad, que los usuarios optan activamente durante los procesos de incorporación de las aplicaciones después de que se les muestre un descargo de responsabilidad inequívoco que detalla qué datos se comparten con nosotros. Como cuestión de rutina, y a medida que nuestro negocio evoluciona, siempre adoptaremos un enfoque centrado en la privacidad de las nuevas funciones para ayudar a garantizar que cualquier PII permanezca sin recopilar y esté completamente protegida.
Según los comentarios que hemos recibido, estamos tomando medidas inmediatas para hacer que la conexión de Sensor Tower a nuestras aplicaciones sea perfectamente clara y agreguemos aún más visibilidad sobre los datos que sus usuarios comparten con nosotros.
La aplicación Annie compartió la siguiente declaración, haciendo referencia a las instalaciones de certificados raíz mencionadas en el artículo de BuzzFeed. (Sin embargo, en los dispositivos iOS, los certificados VPN no obtienen acceso completo a la raíz):
La aplicación Annie no utiliza certificados raíz en ningún momento de su proceso de recopilación de datos.
La aplicación Annie revela que cuando los usuarios optan por la recopilación de datos (y el intercambio de datos no es obligatorio para usar nuestras aplicaciones), los datos se compartirán con la aplicación Annie con el fin de crear estudios de mercado. Solo recopilamos datos después de que los usuarios consienten expresamente esta recopilación dentro de nuestras aplicaciones. Somos muy transparentes, tanto en las tiendas de aplicaciones como en las propias aplicaciones, y conectamos claramente App Annie con nuestras aplicaciones móviles.