Así es como funcionan los SDK, los rastreadores ocultos en tu teléfono


  Open Sourced Logo

En los primeros días de la pandemia de coronavirus, un mapa animado de una compañía llamada Tectonix se volvió viral. Mostró Spring Breaker saliendo de una playa en Florida para regresar a sus hogares en los Estados Unidos cuando una serie de pequeños puntos naranjas se reunieron en una playa a principios de marzo y se extendieron por todo el país durante las próximas dos semanas.

"Se hace evidente cómo el impacto potencial de un solo evento de playa en la propagación de este virus en nuestro país puede ser masivo", dijo el vocero del video. "Los datos cuentan las historias que simplemente no podemos ver".

Pero había otra historia que la mayoría de nosotros no podemos ver: cómo los rastreadores ocultos en las aplicaciones de teléfonos inteligentes son la fuente de cantidades increíbles de datos específicos sobre nosotros, muchos de los cuales se envían a las compañías que todavía se ven. nunca he escuchado Este ha sido el caso durante años y es una parte esencial de la economía de las aplicaciones móviles. Sin embargo, se requirió la pandemia de Covid 19 para resaltar algunas de estas compañías y sus capacidades.

Su teléfono es la herramienta ideal para que los anunciantes y los corredores de datos recopilen su información y le sirvan anuncios basados ​​en ella. Esto generalmente se hace a través de kits de desarrollo de software o SDK, que estas compañías proporcionan de forma gratuita a los desarrolladores de aplicaciones para obtener la información que pueden recopilar de ellos o parte de los anuncios que pueden vender sobre ellos. Si activa los servicios de ubicación para una aplicación meteorológica para obtener un pronóstico localizado, puede enviar sus datos de ubicación a otra persona.

De esta forma, X-Mode recibió los datos utilizados para crear el mapa Spring Breaker de Tectonix. Una compañía llamada Unacast usó Tracker en su SDK para evaluar los condados por lo bien que sus residentes eran socialmente distantes y se quedaban adentro. Luego está Cuebiq, que recopiló datos de ubicación a través de su SDK y compartió esa información con el New York Times para recibir varios artículos sobre cómo ha cambiado el distanciamiento social cuando se cancelaron los pedidos de viviendas y se reabrieron los estados. Esto fue solo unos meses después de que las prácticas de toma de ubicación del periódico Cuebiq en una característica más expansiva dieron un ojo mucho más crítico y muestran un posible cambio en la opinión pública, ahora que estos datos invasivos podrían usarse para salvar vidas o volver a la normalidad. acelerar.

También hemos visto recientemente cómo se pueden usar estos datos de una manera que muchos argumentarían que no contribuye al bien común. Un artículo reciente en el Wall Street Journal reveló que los datos de ubicación no solo se vendían a vendedores o intermediarios de datos, sino también a agencias de aplicación de la ley, donde se usaban para atrapar a inmigrantes indocumentados. Más recientemente, una compañía de datos llamada Mobilewalla se jactó de su capacidad para rastrear los teléfonos celulares de los manifestantes, y aunque se dijo que estos datos eran anónimos, la compañía afirmó que podía identificar la edad, el género y la raza de los manifestantes.

Si bien la mayoría de las aplicaciones de nuestros teléfonos, si no todas, utilizan múltiples SDK, los usuarios de estas aplicaciones rara vez comprenden qué son o cómo se pueden usar para recopilar sus datos y lograr una economía masiva detrás de escena. Así es como funciona todo.

¿Qué es un SDK y cómo me rastrea?

Los SDK en sí mismos no son rastreadores, pero son el medio por el cual la mayoría del seguimiento se realiza a través de aplicaciones móviles. En pocas palabras, un SDK es un conjunto de herramientas con las que una aplicación funciona de alguna manera. Apple y Android ofrecen SDK del sistema operativo que los desarrolladores pueden usar para crear sus aplicaciones para sus respectivos dispositivos, y los proveedores externos ofrecen SDK que permiten a los desarrolladores agregar ciertas funciones a estas aplicaciones rápidamente y con un mínimo esfuerzo.

“El nombre del juego para En los últimos doce años, ha sido lo más fácil posible para las personas desarrollar aplicaciones. “Norman Sadeh, director del Laboratorio de Comercio Móvil y Laboratorio de Administración de la Cadena de Suministro Electrónico en la Universidad Carnegie Mellon y codirector del Programa de Ingeniería de Privacidad de MSIT. dijo Recode.

  Una persona sentada en una playa y mirando su teléfono.

Los desarrolladores de aplicaciones utilizan kits de desarrollo de software (SDK) para perfilar a sus usuarios. Sin embargo, esta información a menudo no solo se envía a la aplicación, sino también a terceros que venden los datos a vendedores y corredores de datos.
Mark Makela / Getty Images

Por ejemplo, si un desarrollador desea iniciar sesión en una aplicación con sus cuentas de Facebook, quiere el SDK de inicio de sesión de Facebook. Si su aplicación necesita mapas o datos de mapas, puede usar el SDK de mapas de Google. Sin SDK, los desarrolladores tendrían que crear estas cosas desde cero. Esto lleva mucho tiempo y puede ir más allá de las habilidades o el presupuesto de un desarrollador pequeño. Los SDK también pueden ayudar a las aplicaciones a comunicarse con terceros a través de la llamada interfaz de programación de aplicaciones o API. Usando el SDK de inicio de sesión de Facebook como ejemplo, el SDK ayuda al desarrollador a crear e implementar la función de inicio de sesión en su aplicación, mientras que la API permite que la aplicación y Facebook se comuniquen entre sí para que el inicio de sesión pueda llevarse a cabo. [19659016] "Ahora tiene todas estas API y bibliotecas de terceros que se han introducido en este ecosistema, ya sea con fines publicitarios, de redes sociales o de análisis", dijo Sadeh. "Este ecosistema se ha vuelto extremadamente complejo, y los flujos de datos que resultan de él son extremadamente diversos y muy, muy preocupantes".

A veces, los SDK recopilan datos y los envían a terceros que los proporcionan, lo cual no es el caso Parte de la funcionalidad de la aplicación. Hace unos meses, la aplicación iOS de Zoom fue sorprendida enviando datos adicionales a Facebook a través del SDK, que Zoom dijo que no fue intencional. Muchas otras aplicaciones han hecho lo mismo.

Aquí es donde entra el seguimiento. Los datos que la aplicación de su dispositivo envía a terceros se pueden usar para crear un perfil del usuario de la aplicación, que los anunciantes pueden usar para orientar los anuncios. Probablemente ni siquiera sepa qué datos salen de su dispositivo, cómo puede rastrearlos o hacia dónde van. Los datos de ubicación reciben la mayor atención porque se sienten más invasivos (como lo expresó el New York Times: "Sus aplicaciones saben dónde estuvo anoche y no lo mantienen en secreto"), pero hay muchas otras formas en que puede rastrearlas o sacar conclusiones sobre quién es usted para dirigirle anuncios. Las organizaciones desean insertar sus SDK en la mayor cantidad de aplicaciones posible para recopilar tanta información como sea posible de la mayor cantidad de personas posible. Incluso los desarrolladores pueden no saber (o no les importa) cuándo y cómo se viola la privacidad de sus usuarios.

"Cuando soy una startup, inicio una aplicación muy rápidamente, tengo que hacer algo rápidamente". Solo incluyo algunos SDK, compilo la aplicación y la envío a la App Store ", dijo a Recode Sean O’Brien, fundador y CEO del Laboratorio de Privacidad de Yale. "Y como desarrollador, es posible que ni siquiera esté al tanto de lo que hay en mi propia aplicación".

También ha habido informes de SDK que recopilan de manera intencional y maliciosa muchos más datos de los que deberían, posiblemente sin el conocimiento de los desarrolladores y ciertamente sin el conocimiento del usuario. O & # 39; Brien recomienda a los desarrolladores que realicen controles de privacidad en sus aplicaciones para evitar esto. Sin embargo, esto no siempre es algo para lo que incluso las grandes empresas como Zoom desean proporcionar recursos.

El ecosistema de la aplicación

El seguimiento a través del SDK puede ser firmemente inseparable del ecosistema de la aplicación. De esta manera se parece a Internet. Casi todo lo que hacemos en línea ha sido rastreado y monetizado desde el principio (ver: Cookies). Dado que las aplicaciones están en el dispositivo y no se accede a ellas a través de un sitio web, y ahora las estamos utilizando para tantos propósitos diferentes y llevamos el dispositivo con el que están todo el día, pueden recolectar muchas de ellas. Información sobre nosotros

"Los SDK son actualmente similares al equivalente móvil de las cookies, pero son más potentes", dijo a Recode Whitney Merrill, abogada y tecnóloga en protección de datos.

Los desarrolladores instalarán SDK de redes publicitarias con sus aplicaciones que les permitirán mostrar anuncios dirigidos a los usuarios y recopilar algunos datos de los usuarios para enviarlos a la red publicitaria. Por ejemplo, el SDK de anuncios de Facebook muestra anuncios diseñados para usted en función de lo que Facebook sabe de usted en todas las aplicaciones en su dispositivo que tienen el SDK, que, según el SDK y la compañía de inteligencia de aplicaciones MightySignal Haz cientos de miles de aplicaciones.

En 2019, las compañías gastaron $ 190 mil millones en anuncios móviles, según el informe del estado de la aplicación móvil Annies 2020. La mayoría de estos son anuncios dirigidos que utilizan datos recopilados a través de SDK y otras fuentes, y se envían principalmente a las aplicaciones a través de SDK de la red publicitaria. Las aplicaciones gratuitas (y, a veces, incluso las aplicaciones por las que paga) generalmente solo existen debido al dinero que obtienen de los anuncios o los datos de ubicación que proporcionan. Los anuncios que no están orientados valen menos, y contratar a alguien para obtener anuncios para su aplicación cuesta dinero, mientras que un SDK de red publicitaria que lo hace automáticamente es gratis.

La mayoría de las empresas que crean estos SDK lo dirán. Los datos que recopilan no son personalmente identificables (por lo general, solo significa que se adjuntan a la identificación del dispositivo y no a la identificación del propietario del dispositivo) que los clientes tiene que decidir sobre la recopilación y que las pautas de protección de datos mantengan a los usuarios actualizados sobre el uso de sus datos. Sin embargo, los expertos en protección de datos dicen que los datos no identificados a menudo se pueden volver a identificar y nunca son realmente anónimos, especialmente cuando los corredores de datos tienen gran parte de ellos de tantas fuentes.

"La cantidad de datos que tienen sobre nosotros es increíble", dijo Sadeh. "Los corredores básicamente reúnen todos estos datos y son bastante buenos en eso".

X-Mode y Cuebiq, los SDK en 300 y 180 aplicaciones con una tasa de aceptación para el seguimiento de ubicación del 55 al 85 por ciento y 20 Ambos le dijeron a Recode que la protección de datos era y era importante para ellos, que cumplían plenamente con las leyes de protección de datos y que creían que había una manera de proteger la privacidad y al mismo tiempo obtener un valioso conocimiento sobre los datos recopilados.

"Creo en la importancia de los grandes datos", dijo Antonio Tomarchio, CEO de Cuebiq, a Recode. "Pero también creo que esto debe hacerse con el marco adecuado".

Cómo minimizar el riesgo de seguimiento del SDK

A lo largo de los años, las tiendas de aplicaciones y los sistemas operativos se han arraigado en algunos de estos seguimientos. Permitieron a los usuarios elegir qué aplicaciones pueden acceder a ciertas partes de su teléfono, brechas cerradas que permiten a las aplicaciones rastrear ubicaciones incluso cuando los servicios de GPS están apagados, y crearon identificadores de dispositivo específicos de publicidad para disfrazar el identificador real del dispositivo. y fue una de las formas más importantes en que las empresas de datos y los anunciantes solían rastrear a las personas a través de aplicaciones.

Un anuncio de Apple que dice "Lo que sucede en tu iPhone permanece en tu iPhone" en Las Vegas, Nevada, el 6 de enero de 2018.
Robyn Beck / AFP a través de Getty Images

Es un Un poco como jugar en la boca: las compañías de datos constantemente buscan nuevas formas de rastrear a los usuarios, y los desarrolladores de sistemas operativos constantemente buscan formas de detenerlos o controlarlos mejor.

Si no solo desea confiar en una compañía de datos de ubicación, un agente de datos o una compañía de publicidad para enfocarse en sus mejores preocupaciones de privacidad, entonces puede hacer cosas para evitar que su información salga a la luz. Apple y Android ahora ofrecen a los propietarios de dispositivos la capacidad de restringir el seguimiento de anuncios. Entonces puedes hacer esto si aún no lo has hecho. También puede restringir el seguimiento de anuncios a servicios como Facebook, Google y Twitter. Cuando una aplicación solicita permiso para usar una función del dispositivo como su ubicación, solo acéptela cuando realmente la necesite y solo active los servicios de ubicación cuando la use. Lea la política de privacidad de las aplicaciones que descargue para tener la mejor idea de si están compartiendo sus datos y con quién están compartiendo, y desactive el intercambio con las empresas de ubicación de datos cuando sea posible: X-Mode y Cuebiq ambos Ofrecer formas de hacer esto directamente. La mayoría de los profesionales de protección de datos creen que es imposible detener realmente el seguimiento en estos dispositivos y a través de sus aplicaciones, pero esto al menos debería reducirlo.

El futuro incierto del seguimiento de SDK

Hasta hace unos años, confiamos en gran medida en estas compañías para regularse, que es lo que la mayoría de ellos afirman. Sin embargo, sus prácticas de procesamiento de datos a menudo son demasiado opacas para asegurarse de que este sea el caso, y los precedentes anteriores indican que es poco probable que sea así. Solo el New York Times ha tenido acceso a registros confidenciales de ubicación no solo una vez, sino dos veces. Solo la presión externa parece haber causado algún cambio.

A nivel del sistema operativo, Apple ha introducido varias mejoras de privacidad y control a lo largo de los años y recientemente anunció que el próximo iOS 14 se basará en ellas. Las mejoras incluyen: Las aplicaciones deben hacerle saber que quieren rastrearlo y obtener su aprobación. Debe informar a los usuarios qué información sobre ellos recopilan los rastreadores y si están vinculados a su identidad.

Sin embargo, Apple también necesita sopesar las necesidades de los desarrolladores de su tienda de aplicaciones, cuyo modelo de negocio puede depender de los anuncios, con los deseos de sus clientes, quienes probablemente preferirían no ser rastreados y hacer el menor esfuerzo para evitar esto.

"Hay otra mentalidad predominante: si le das a las personas demasiadas opciones, se cansarán", dijo Merrill. Abrir una aplicación recién instalada y hacer clic en 20 permisos de dispositivos diferentes, por ejemplo, probablemente no sea la experiencia que desean los usuarios.

Merrill agregó: "Esta será una experiencia terrible porque obtienes todas estas ventanas emergentes y dices:" Solo quiero usar la maldita aplicación ".

Apple le dijo a Recode que el sistema operativo está en constante evolución para minimizar los datos del usuario que abandonan el dispositivo y se envían a las aplicaciones, al tiempo que habilita las características y la funcionalidad sin obligar a los usuarios a través de una serie de ventanas emergentes de permisos Ventana para hacer clic.

También hay leyes que requieren ciertas revelaciones y consentimiento, y ciertamente parece haber un impulso para promulgar más. Además del Reglamento General de Protección de Datos de la Unión Europea, existe la Ley de Protección al Consumidor de California. Otros estados siguen con sus propias leyes de protección de datos propuestas, y se han introducido varias versiones federales. Muchos profesionales de la protección de datos creen que si se implementa correctamente, dicha legislación es la única forma de regular realmente la industria de los datos. Los CEO de la compañía de datos de ubicación dicen que lo agradecen.

"Creo que legitimará y madurará la industria", dijo a Recode Joshua Anton, fundador y CEO de X-Mode. "Creo que lo que estamos pasando es similar a CAN-SPAM a principios de la década de 2000 … la legislación es algo positivo. Y espero que nuestra compañía y muchas otras compañías sean como nosotros parte de la conversación en la creación de leyes, que dan a los consumidores más control sobre sus datos de ubicación ".

O & # 39; Brien, por otro lado, cree en el seguimiento de los anuncios móviles. El problema no se resuelve por ley, sino por lo mismo que lo creó: dinero.

" Yo cree que habrá algo de contabilidad ", dijo O & # 39; Brien." Para algunas de estas compañías, ya ha habido una, especialmente cuando la economía comienza a llenarse y el fondo del negocio publicitario objetivo está cayendo, lo que en realidad parece estar sucediendo. Las compañías que actualmente se están retirando de Facebook no solo se están retirando de Facebook porque están horrorizadas de que Mark Zuckerberg no haya moderado la plataforma ni haya permitido que Trump haga nada que hacer. Lo hacen porque no han visto los rendimientos que han pagado en Facebook durante una década. “

Algunas investigaciones ahora han demostrado que los anuncios dirigidos para marcas son solo marginalmente más valiosos que los no dirigidos e incluso pueden ser menores si se toma en cuenta la pérdida de confianza del usuario, las tarifas de la red publicitaria y los costos de las herramientas que cumplen con la protección de datos.

"Las compañías que tradicionalmente permitían que el dinero fluyera a Google y Facebook, etc., están en un terreno muy inestable en este momento", dijo O & # 39; Brien. "Y la oportunidad para ellos de tratar a la gran tecnología como una especie de casino arrojando dinero en las máquinas tragamonedas no será larga".

Por otro lado, el negocio de publicidad de Twitter sufrió el año pasado. La compañía tuvo que reducir la cantidad de datos que recopiló (fue " accidentalmente " para recopilar demasiada información de los usuarios, incluso después de que explícitamente le dijeron a la compañía solicitado) que luego se utilizaría para orientar anuncios. Sin embargo, esto solo muestra que las nuevas regulaciones y los deseos de proteger la privacidad de los usuarios realmente tienen un impacto en el negocio de publicidad dirigida, lo que a su vez puede conducir a cambios.

En este momento, sin embargo, sus datos son exactamente lo que quieren los anunciantes y para lo que se ha configurado el ecosistema de aplicaciones móviles. Si la información que recopila sobre los rastreadores de SDK se puede utilizar para detener el virus corona, puede ser un intercambio que esté dispuesto a hacer. Si se usa para perturbar ideas específicas de los manifestantes, puede que no sea tan sabroso. En ausencia de buenas leyes federales que rijan cómo se recopilan y usan sus datos, todo lo que tiene que hacer es confiar en que las compañías de datos de ubicación y los desarrolladores de aplicaciones realmente se preocupan por su privacidad como dicen.

Open Sourced es posible gracias a la Red Omidyar. Todo el contenido de código abierto es editorialmente independiente y es producido por nuestros periodistas.


Apoya el periodismo explicativo de Vox

Todos los días en Vox, intentamos responder a tus preguntas más importantes y brindarte a ti y a nuestra audiencia en todo el mundo información que tiene el poder de salvar vidas. Nuestra misión nunca ha sido tan importante como lo es ahora: fortalecerla a través de la comprensión. El trabajo de Vox llega a más personas que nunca, pero nuestra marca distintiva de periodismo explicativo consume recursos, especialmente durante una pandemia y una recesión económica. Su contribución financiera no constituye una donación, pero permite que nuestros empleados continúen ofreciendo artículos, videos y podcasts gratuitos en la calidad y cantidad requerida para este momento. Por favor considere contribuir a Vox hoy.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *