fbpx

Qué Tanto Sabe Uber de Usted?

La aplicación de Uber en Android recopila (y comparte) más información que la que recogen los malwares más peligrosos

Voy a comenzar diciendo que me uno a la campaña de #UberSeQueda que está circulando por las redes sociales luego de que unos funcionarios gubernamentales, que o son analfabetas digitales o han recibido dádivas de las mafias del transporte público, declararan la aplicación como un servicio ilegal (y de paso metieran en la misma bolsa a Tappsi, Smart Taxi, Travelocity, Expedia, Orbitz, Despegar.com y Atrápalo.com, entre otras en esa misma categoría). Me encanta el servicio de Uber. Me encanta lo fácil que es. Me encanta lo profesional que se siente. Y no lo digo en Colombia. Lo digo porque lo he usado en otros países y ha funcionado a la perfección. Uber no es un servicio de taxi. Uber es un servicio de conductor personal. 

Sin embargo, no todo es color de rosa y si en Colombia llueve en el resto del mundo no escampa. Por un lado las directivas de la compañía siguen tratando de lidiar con los comentarios hechos por Emil Michael, el Vicepresidente Senior de Negocios de la compañía quién básicamente insinuó que la compañía debería “invertir” USD 1 Millón en conseguir información personal y negativa de periodistas que han sido críticos con la compañía y divulgarla. El cuento es así: en una comida en la que estaban presentes, entre otros, el Editor General de BuzzFeed – Ben Smith – el actor Ed Norton y Arianna Huffington (del Huffington Post) el “genio” dijo, al referirse a la contratación de un equipo de “investigadores de oposición”, lo siguiente:

“Ese equipo podría ayudar a Uber a luchar contra la prensa. Buscarían en sus vidas personales y las de sus familias y le darían a los medios un poco de su propia medicina”

Mal. Muy Mal. Yo sé que la compañía está siendo valorada en USD 40Mil Millones y que ofrece una alternativa a una de las mafias más antiguas de la era moderna. Pero llegar a amenazar a quienes no están de acuerdo con sus prácticas y su servicio? Tampoco!!

Pero por otro la compañía está siendo criticada para la cantidad (y tipo) de información que recopila de sus usuarios, en especial de aquellos que usan la aplicación sobre Android. Tiene idea de qué tanto sabe Uber de usted?

Un consultor de seguridad informática llamado Joe Giron ha descubierto que la aplicación de Uber de Android recopila y envía una cantidad de información personal del usuario tal que llega a ser peor que los llamados Malwares. De acuerdo al análisis (que pueden ver en detalle aquí) la aplicación envía información privada de los usuarios a los servidores de la compañía dentro de la que se encuentran los detalles de las llamadas telefónicaslogs completos de mensajes de texto, el historial de llamadas, las conexiones de Wifi utilizadas, las identificaciones del dispositivo y las ubicaciones del mismo vía GPS. Es más, la aplicación incluso está recopilando y enviando información de las capacidades de los routers inalámbricos que hay a su alcance (las de su vecino por ejemplo), sus frecuencias y SSIDs

Esta es la lista completa (en inglés) de la data que la aplicación (en Android) está recopilando y enviando a la compañía:

Accounts log (Email)

App Activity (Name, PackageName, Process Number of activity, Processed id)

App Data Usage (Cache size, code size, data size, name, package name)

App Install (installed at, name, package name, unknown sources enabled, version code, version name)

Battery (health, level, plugged, present, scale, status, technology, temperature, voltage)

Device Info (board, brand, build version, cell number, device, device type, display, fingerprint, IP, MAC address, manufacturer, model, OS platform, product, SDK code, total disk space, unknown sources enabled)

GPS (accuracy, altitude, latitude, longitude, provider, speed)

MMS (from number, MMS at, MMS type, service number, to number)

NetData (bytes received, bytes sent, connection type, interface type)

PhoneCall (call duration, called at, from number, phone call type, to number)

SMS (from number, service number, SMS at, SMS type, to number)

TelephonyInfo (cell tower ID, cell tower latitude, cell tower longitude, IMEI, ISO country code, local area code, MEID, mobile country code, mobile network code, network name, network type, phone type, SIM serial number, SIM state, subscriber ID)

WifiConnection (BSSID, IP, linkspeed, MAC addr, network ID, RSSI, SSID)

WifiNeighbors (BSSID, capabilities, frequency, level, SSID)

Root Check (root status code, root status reason code, root version, sig file version)

Malware Info (algorithm confidence, app list, found malware, malware SDK version, package list, reason code, service list, sigfile version)

Las dos grandes preguntas son (1) Quién le dio acceso a toda esa información? y (2) Para qué la usa?

La respuesta a la primera es fácil: usted. Usted le dio permiso a la aplicación de Uber (y a la mayoría de aplicaciones que instala en Android) para que acceda al grueso de su información personal. Por qué? Porque así funciona Android, lamentablemente. A diferencia de iOS y de Windows Phone, Android establece que los desarrolladores deben pedir los permisos de acceso a la información de manera previa – al momento de la instalación – y no ofrece una granularidad que permita al usuario escoger qué información quiere compartir con cada aplicación y cuál quiere mantener privada. El hueco es TAN profundo que al instalar Uber en su dispositivo Android usted le está permiso para que vea sus contactos, haga llamadas directamente y hasta cambie y borre información de su almacenamiento USB. Si quiere qué más cosas puede hacer vaya a la descripción de la aplicación en Google Play (puede usar este link) y en Información Adicional seleccione Permisos

La respuesta a la segunda pregunta no es tan fácil. Mucha de esta información la utiliza Uber para prestar el servicio. Es claro que necesita acceso a su ubicación, para poder saber dónde está y asegurar que el carro lo recoge donde es. Pero dada la pobreza en la administración de los servicios de privacidad y seguridad de Android que le dan acceso a toda la información que hemos hablado, la compañía no ha podido explicar para qué necesita el log de las llamadas que usted hace, ni el detalle de los mensajes de texto que usted envía o recibe, ni para qué necesita acceso a su cámara ni mucho menos para que quiere poder activar el micrófono de su dispositivo. 

Sabe que es lo peor? Que no es un tema de Uber. Un análisis rápido de aplicaciones parecidas demuestra que todas tienen acceso a la misma información (e incluso a más) sencillamente porque Android no limita el acceso y porque Google invita a los desarrolladores a que pidan acceso a la información que pudieran llegar a necesitar algún día de manera anticipada. Es un tema complejo y es otra de las razones por las que personalmente prefiero iOS a Android. 

Deja un comentario