'Apps' infantils roben dades personals de menors

Un mòbil per si mateix no distingeix qui el fa servir; els programes que gestiona, sí. Investigadors de la Universitat de Berkeley, a Califòrnia, han descobert que apps dirigides a públic infantil, cada vegada usuaris més intensius de tauletes i telèfons, extreuen dades personals dels menors, fins i tot sense que aquests (o més aviat els seus pares, que és a qui legalment els correspon) acceptin donar-les. Els programes capten identificadors del mòbil, de la xarxa i geolocalització, però també arriben a aconseguir números de telèfon, correus electrònics i noms. Es tractaria d’una doble il·legalitat: per fer-ho sense permís i perquè no es poden tractar dades de menors. Algunes d’aquestes investigacions ja han portat companyies com Disney als tribunals.

Segons va explicar ahir Serge Egelman, director del laboratori de privacitat de la Universitat de Berkeley, el 65% de les apps qualificades com a «familiars» a la botiga d’aplicacions de Google i que es dirigeixen a usuaris més grans de 3 anys identifiquen els seus usuaris. Un 56% ho fan a través d’identificadors únics basats en software, com l’usuari d’Android (Android ID), el de la xarxa wifi o el d’identificador del mòbil a la xarxa telefònica (el conegut com a IMEI), i tres quartes parts d’elles associen aquestes dades al número únic que utilitza Google per identificar els dispositius que usen el seu sistema operatiu (GSF ID). Un altre 8% de les apps, a més a més, capten correus, noms, números de telèfon o localització. Pot ser un d’aquests ítems o diversos, va assenyalar l’investigador.

«Cap d’aquestes apps verifica amb un sistema efectiu si l’usuari és o no adult. No demana la data de naixement, per exemple, i en molts casos la captació es fa abans d’aconseguir el consentiment de les condicions d’ús», va explicar Egelman en la conferència del Data Transparency Lab que dirigeix Ramon Sangüesa i que se celebra fins avui a Barcelona.

Geolocalització

Dades com la localització són molt preades per a les xarxes d’anuncis, que la utilitzen per segmentar les audiències segons perfils socioeconòmics. El projecte que dirigeix Egelman investiga com aquestes dades es comparen amb altres de manera que l’usuari ni tan sols ha de donar el seu consentiment perquè puguin saber dades com on viu o quines rutes fa. Per exemple, amb l’identificador de la wifi es pot saber on està. Per fer-ho han desenvolupat una app, Lumen, i un cercador, AppCensus, que analitza quins permisos usa cada aplicació segons el trànsit que genera.

En el cercador es poden consultar casos d’apps que identifiquen usuaris i transmeten localització en jocs tan populars i aparentment tan poc sospitosos de necessitar-la com el joc de puzles Cut the rope, el de conducció per a nens Fun Kid Racing o el simpàtic llangardaix de ¿Dónde está mi agua?

La majoria de les apps que usen aquestes dades estan programades utilitzant recursos d’ús comú com llibreries de software tan conegudes com les de Unity, que gestionen el motor en la majoria de jocs i que tenen les identificacions com a part dels seus components. «El que com a investigadors no sabem és si els desenvolupadors són conscients que han de limitar els permisos, o si es deixen tal com venen per defecte de manera intencionada», afirma Egelman.

Notícies relacionades

La pena de mort s’allunya del cas Daniel Sancho

Educació fomentarà les mates manipulatives i l’oralitat

El cas és que l’analítica d’aquestes dades obre la porta a un món de possibilitats publicitàries (en sentit ampli, des de purament comercials a polítiques) que no se sap en mans de qui acaben. «Aconseguir una comparació de dades és molt barat i es generen perfils bastant complets», explica Narseo Vallina-Rodríguez, membre del grup de Berkeley i actual investigador de l’IMDEA, vinculat a la Comunitat de Madrid.

Un bufet d’advocats a Califòrnia acaba d’interposar una denúncia contra Disney per l’ús que fa de dades infantils en 42 apps, la majoria vinculades a personatges de les seves pel·lícules. La demanda es dirigeix a l’empresa principal i dues de les subsidiàries (Disney Enterprises Inc. i Disney Electronic Content Inc.) i implica Unity i dues empreses d’analítica més. Disney ja ha anunciat que defensarà la seva innocència als tribunals i el cas encara no s’ha resolt.