AccuWeather accede a los datos de tu iPhone sin tu permiso y después los vende
Viene instalado en casi todos los teléfonos del mercado. Da igual que corran sobre iOS o Android, que sean iPhone o Samsung, Huawei o LG. AccuWeather es el sol, la nube o los copos de nieve de nuestro smartphone; pero desde esta semana también es un espía. De momento y hasta que se demuestre lo contrario, solo en iPhone.
Para AccuWeather, la premisa era encender la localización para recibir alertas sobre las condiciones climatológicas adversas, obtener actualizaciones críticas de la zona en la que nos encontrásemos y disminuir el tiempo de apertura de la aplicación. Pero solo querían tener acceso a los datos para venderlos después.
La empresa, fundada en 1962 por un estudiante de meteorología en Pennsylvania, lleva más de medio siglo dando partes del tiempo. En 2015 daban más de 9.500 millones de predicciones meteorológicas al día y establecían un récord en tratamiento de Big Data. Dos años después hemos sabido, gracias a un investigador en ciberseguridad, que sacaba beneficio de todas aquellas previsiones destinadas a usuarios de iPhone.
Lo ha comprobado Will Strafach primero y el portal ZDNet después. El experto en ciberseguridad explica en Medium que, en 36 horas, una pieza de código incluido en la aplicación de AccuWeather para iOS mandó a otra empresa datos de su teléfono móvil un total de 16 veces. Y todo esto mientras la app corría en segundo plano.
Esos datos fueron sus coordenadas GPS (incluyendo la altitud a la que se encontraba y la velocidad), el nombre de la red Wifi a la que estaba conectado, el modelo de router que utilizaba y, en último lugar, si tenía encendido o no el Bluetooth. La app era capaz de conocer esta información gracias a un SDKs (Kit de desarrollo de software), un fragmento de código que uno de los 175.000 clientes de AccuWeather incluyó para vigilar a los usuarios de iOS.
Comerciando con nuestros datos
A pesar de que AccuWeather explica en sus términos de uso que trabaja con terceros a los que podría vender información, la empresa ha tenido que salir al paso para explicar cómo, a pesar de haber desactivado el permiso para acceder al GPS, la app era capaz de seguir mandando datos. En agosto del 2016 otra compañía llamó la atención de la Comisión Federal de Comercio en EEUU al llevar a cabo una práctica similar.
“Aunque no autorices a AccuWeather a acceder a tu GPS, todavía seguirá mandando información sobre tu Wifi y el modelo de router, proporcionando a RevealMobile acceder a tu localización gracias a tu dispositivo”, continúa Strafach. Esa es la compañía a quien pertenece el SDK y la misma que necesita saber en todo momento dónde estamos y a qué red nos conectamos. Sus beneficios dependen de ello.
RevealMobile dice en su página web que “convertimos las señales de localización de los teléfonos móviles en audiencias de alto valor. Generarás mayor beneficio a través del teléfono, con o sin anuncios”. Es una compañía más dedicada al Big Data, con un cometido muy simple: recopilar información de localizaciones de usuarios para, después, vendérselos a otras empresas.
De esta forma, otras compañías que compran esos datos pueden ofrecer servicios personalizados a sus clientes (y estos a su vez a los consumidores) basándose en su lugar de residencia, trabajo o los sitios que frecuentan.
“No fue a propósito”
Un día después de la polémica, AccuWeather y RevealMobile han emitido un comunicado conjunto negando que exista una función oculta para localizar a los usuarios. También han prometido el desarrollo de un nuevo SDK. “Si un usuario impide la localización en AccuWeather, no se almacena ni se filtra ninguna coordenada GPS sin su permiso”, explican.
Sobre la información acerca de la red Wifi, las compañías recalcan que “no es información del usuario” y que fue una función incluida en el SDK “durante un corto periodo de tiempo que ni siquiera se usó”. Sin embargo, no niegan que la pieza de código pudiera estar mal hecha y que ni “la revelación de localizaciones o de cualquier tipo de información fue a propósito, ni tampoco fueron esas las intenciones”.
Por otro lado, el CEO de RevealMobile, Brian Handley, ha explicado a ZDNet que “todo es anónimo” y que nunca han rastreado “un solo dispositivo móvil”, pero no niega que, a veces, coloquen publicidad a propósito. El experto en ciberseguridad que ha descubierto el software espía también ha comprobado que unas 40 apps de iTunes incluyen una pieza de código igual o similar a la que tenía AccuWeather.