Una investigación de EFF sobre la aplicación de timbre de puerta Ring para Android descubrió que estaba llena de rastreadores de terceros que enviaban una gran cantidad de información personal identificable (PII) de los clientes. Se descubrió que cuatro de las principales empresas de análisis y comercialización recibían información como los nombres, las direcciones IP privadas, los operadores de redes móviles, los identificadores persistentes y los datos de los sensores de los dispositivos de los clientes de pago.El peligro de enviar incluso pequeños bits de información es que las empresas de análisis y seguimiento son capaces de combinar estos bits para formar una imagen única del dispositivo del usuario. Este conjunto cohesivo representa una huella dactilar que sigue al usuario mientras interactúa con otras aplicaciones y emplea su dispositivo, proporcionando así a los rastreadores la capacidad de espiar lo que un usuario está haciendo en su vida digital y cuándo lo está haciendo. Todo esto tiene lugar sin una notificación o consentimiento significativo del usuario y, en la mayoría de los casos, no hay forma de mitigar el daño causado. Incluso cuando esta información no se utiliza indebidamente y se emplea precisamente para su propósito declarado (en la mayoría de los casos, la comercialización), esto puede dar lugar a toda una serie de problemas sociales.Ring se beneficia de la amplia gama de datos de los clientes que están a su disposición, aprovechando una imagen del hogar seguro, mientras se beneficia de una red de vigilancia que facilita el acceso sin precedentes de los departamentos de policía a la vida privada de los ciudadanos. Para los consumidores, esta imagen ha cultivado un sentido de confianza en Ring que debería ser sacudido por la realidad del funcionamiento de la aplicación: no sólo Ring gestiona mal los datos de los consumidores, sino que también entrega intencionadamente esos datos a rastreadores y mineros de datos.
Las pruebas de concepto se han aplicado en la versión 3.21.1 de Ring for Android y revelaron la entrega de PII a branch.io, mixpanel.com, appsflyer.com y facebook.com. Facebook, a través de su Graph API, es alertado cuando la aplicación es abierta y sobre acciones del dispositivo como la desactivación de la aplicación después del bloqueo de la pantalla debido a la inactividad. La información que se envía a Facebook (incluso si no tiene una cuenta en Facebook) incluye zona horaria, modelo de dispositivo, preferencias de idioma, resolución de pantalla y un identificador único (anon_id), que persiste incluso cuando se restablece el ID del anunciante a nivel de sistema operativo.
Branch, que se describe a sí misma como una plataforma de «enlace profundo», recibe una serie de identificadores únicos (device_fingerprint_id, hardware_id, identity_id), así como la dirección IP local de su dispositivo, modelo, resolución de pantalla y DPI.
AppsFlyer, una gran empresa de datos centrada en la plataforma móvil, recibe una amplia gama de información sobre el lanzamiento de la aplicación, así como ciertas acciones del usuario, como la interacción con la sección «Vecinos» de la aplicación. Esta información incluye su operador móvil, cuándo se instaló y lanzó Ring por primera vez, una serie de identificadores únicos, la aplicación desde la que se instaló y si el seguimiento de AppsFlyer vino preinstalado en el dispositivo. Esta última información es presumiblemente para determinar si el rastreo de AppsFlyer fue incluido como bloatware en un dispositivo Android de gama baja. Los fabricantes suelen compensar los costos de producción del dispositivo vendiendo los datos de los consumidores, una práctica que afecta de manera desproporcionada a las personas de bajos ingresos y que fue objeto de una reciente petición a Google iniciada por Privacy International y cofirmada por la EFF.
Lo más alarmante es que AppsFlyer también recibe los sensores instalados en su dispositivo (en nuestro dispositivo de prueba, esto incluía el magnetómetro, el giroscopio y el acelerómetro) y los ajustes de calibración actuales.
Ring da a MixPanel la mayor cantidad de información con diferencia. Los nombres completos de los usuarios, las direcciones de correo electrónico, la información del dispositivo como la versión y el modelo del sistema operativo, si el bluetooth está habilitado, y la configuración de las aplicaciones como el número de ubicaciones en las que el usuario tiene instalados los dispositivos Ring, se recopilan y se comunican al MixPanel. MixPanel se menciona brevemente en la lista de servicios de terceros de Ring, pero no así el alcance de su recopilación de datos. Ninguno de los otros rastreadores listados en este post se mencionan en absoluto en esta página.
Ring también envía información al servicio de registro de accidentes propiedad de Google Crashalytics. El alcance exacto del intercambio de datos con este servicio está aún por determinar.
Para ver la metodología y capturas de pantalla, podéis ir a la fuente: