Seis años después de su nacimiento, parece que el ID de publicidad para Android (AAID) puede que ya no sea la efectiva herramienta de privacidad que Google decía.
Un nuevo estudio de AppCensus ha encontrado 18.000 apps en Play Store, muchas de ellas con millones de instalaciones, que parecen estar eludiendo el sistema AAID, recopilando silenciosamente identificadores adicionales de los teléfonos de los usuarios de formas que no se pueden bloquear.
Entre las apps más conocidas están Flipboard, Talking Tom, Clean Master AV Cleaner & Booster, Battery Doctor, Cooking Fever, y Cut the Rope Full Free, todas ellas envían datos a agregadores de publicidad.
Pero ¿qué es el AAID y por qué es importante?
Pocos usuarios de Android le dan importancia, pero en 2013 el ID de publicidad parecía una buena idea.
En aquel momento, las apps podían recopilar gran cantidad de información relativa al dispositivo del usuario como ID de Android, número IMEI, dirección MAC y número de serie del SIM, datos que pueden servir para monitorizar y clasificar usuarios.
En el sistema de ID de Android (que también adoptó Apple con el identificador de publicidad) no se le permite a los desarrolladores de apps el recopilar identificadores “persistentes” sino una cadena anónima que el usuario puede restablecer periódicamente.
Los usuarios de Android pueden encontrar y restablecer el ID de publicidad en Ajustes de Google > Anuncios.
En teoría, al restablecer el ID se cambia por uno nuevo aleatorio, lo que mandaría a la casilla de salida a los perfiladores de anuncios.
Sin embargo, la investigación de AppCensus muestra que una gran cantidad de desarrolladores de apps no solo registran el AAID sino también otros identificadores persistentes, especialmente el ID del dispositivo Android y el número IMEI.
En contra de las reglas
El ID del dispositivo y el IMEI, por supuesto, son específicos para cada dispositivo y no se pueden cambiar, por lo que son una buena forma de monitorizar un dispositivo. AppCensus argumenta que al utilizar estos identificadores a mayores del ID de publicidad, los desarrolladores de apps están rompiendo con las políticas del Play Store de Google. Estas constatan:
El identificador de publicidad no debe vincularse a información de identificación personal o asociarse a cualquier identificador de dispositivo persistente (por ejemplo, SSAID, dirección MAC o IMEI) sin el consentimiento explícito del usuario.
La pregunta es que, si es que existe algo, hay en el ID de publicidad de Android que informe al Google de que las apps no están cumpliendo con su fin previsto.
Se trata de la misma controversia que en 2017 puso en conflicto a Apple y Uber.
La respuesta de Google ha sido decir que han tomado medidas contra un inespecificado número de apps de la lista de AppCensus y que recopilar identificadores solo se permite para parar problemas como detención de fraudes. En declaraciones a CNET:
Nos tomamos estos temas muy seriamente. Combinar el ID de publicidad con otros identificadores del dispositivo con el fin de personalización de anuncios está terminalmente prohibido. Estamos constantemente revisando apps, incluyendo las que aparecen en la lista del informe, y tomaremos acciones cuando no cumplan con nuestras políticas.
Si quieres más información sobre los datos que recopila una app específica puedes utilizar la base de datos de AppCensus.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario