Aplicaciones de foto y vídeo – Análisis Técnico
¿Qué hicimos?
Analizamos cinco aplicaciones que sirven para hacer edición de foto y de vídeo disponibles para Android.
Los análisis técnicos de Datávoros están enfocados en la privacidad y en el tratamiento de los datos de las personas usuarias, en particular de los datos generados a través del uso de las aplicaciones y recopilados a través de rastreadores.
Buscamos reconocer parte del ecosistema de empresas relacionado con el llamado “nuevo petróleo” (new oil), es decir, el minado, venta y compra de datos.
En particular, nos interesa identificar cómo las aplicaciones acceden y qué datos utilizan como materia prima para vender a anunciantes y dirigir publicidad. Así como identificar qué pasa con las fotos y videos (muchas veces personales e íntimas) que las personas usuarias editan a través de estas aplicaciones.
En el análisis técnico de las aplicaciones:
- Revisamos sus políticas de privacidad y comparamos con lo que aparece en la sección Seguridad de los datos de la Playstore.
- En términos de seguridad, analizamos si las comunicaciones están o no cifradas, ya que pueden llegar a manejar datos sensibles y privados de las personas usuarias.
¿Cómo seleccionamos estas aplicaciones?
Utilizando la plataforma Sensor Tower hicimos una lista de las aplicaciones más descargadas en México en la sección “Photography”, suponiendo que, entre más número de descargas, mayor número de personas usuarias activas. Cruzamos esta lista con aquellas aplicaciones que tuvieran el mayor número de descargas históricas y que sirvieran para editar fotos y video. Esta selección fue hecha en agosto de 2022, de tal manera que estos datos podrían ser diferentes ahora.
Estas son las cinco aplicaciones seleccionadas:
El enlace de cada aplicación dirige a la ficha técnica con los análisis y conclusiones. A continuación presentamos un análisis global de las cinco aplicaciones con el objetivo de compararlas y establecer, en líneas generales, los problemas y los aciertos de privacidad de cada aplicación.
¿Qué encontramos?
Del análisis realizado en las aplicaciones, estos fueron los principales hallazgos:
01.
Hasta donde pudimos analizar de forma técnica, las fotos de las personas usuarias no son enviadas o guardadas en los servidores de ninguna empresa. Sin embargo, resaltamos que la aplicación PicsArt tiene una red social integrada, y mantiene las fotos en sus servidores una vez publicadas.
02.
La aplicación Canva es la que menos rastreadores y empresas relacionadas tiene en su ecosistema e infraestructura. Además tiene un aviso de privacidad claro y conciso. Por esta razón, nos parece que, entre las cinco analizadas, es la más amigable con la privacidad de las personas usuarias.
03.
Consideramos que Picsart representa un mayor riesgo para la privacidad de las personas usuarias. Es la aplicación que más rastreadores tiene e involucra la mayor cantidad de empresas. Esta aplicación también se considera una red social, ya que tiene funciones para que el usuario pueda, entre otras cosas, publicar y compartir sus fotos dentro de la red social de esta aplicación y otras. Sin embargo, a la hora de subirlas, no hay un mecanismo que elimine los metadatos de las imágenes, lo que podría implicar que las personas usuarias divulguen datos personales como la ubicación en donde fueron tomadas sin su conocimiento.
Además es la aplicación que más permisos solicita y tiene algunos que otorgan información de más, como por ejemplo Activity_Recognition1. ¿Para qué querría saber la aplicación si estamos caminando o manejando?
04.
La aplicación B612 no cifra todas sus comunicaciones2 (aunque en la sección de Seguridad de los datos de la Playstore dicen que sí) con varios servidores que recolectan entre otros los siguientes datos:
- Modelo y marca del teléfono
- País
- Idioma
- Tipo del sistema operativo y versión
- Zona horaria
- Versión de la aplicación
- Resolución de pantalla
- Android ID
- Eventos ocurridos en la aplicación y tiempo pasado en ella.
- Otra serie de identificadores que no sabemos qué son.
Si bien estos datos pueden parecer a primera vista inocuos, nos parece importante remarcar que no lo son, y que están relacionados con otras técnicas de recopilación de información, podrían ayudar a identificar a una persona usuaria. Por lo mismo, deberían estar cifrados en todo momento.
05.
La aplicación B612 dice no compartir datos personales de las personas usuarias con terceros en la sección Seguridad de los datos de la Playstore, sin embargo en su aviso de privacidad estipulan que, en los últimos 12 meses, han vendido a terceros datos personales de las personas usuarias.
En la misma línea de permisos incongruentes para su función, nos parece excesivo que tenga acceso a la lista de aplicaciones que se están ejecutando en el celular, otro permiso que no se relaciona con sus funciones esenciales.
06.
Todas estas aplicaciones, además de tener un gran número de rastreadores, están relacionadas con muchísimas otras empresas de las cuales las personas usuarias no tienen conocimiento. Esas empresas pueden ser desarrolladoras de los rastreadores al igual que estar conectadas a otras empresas y a una empresa matriz. El número de empresas de las cuales no sabemos si tienen o no acceso a los datos personales y anónimos de los usuarios es muy extenso y se encuentran ubicadas en varios lugares del mundo.
¿Cómo realizamos el análisis?
01. Preparación del dispositivo.
Utilizamos un celular Motorola G7 Plus con Lineage OS 18.2 (Android 11)3 La razón fue tener un ambiente controlado de pruebas donde muchos de los servicios de rastreo de Google que vienen incluidos en Android estuvieran desactivados para que el tráfico de red4 fuera lo más limpio posible. El celular sólo tenía las aplicaciones y los servicios activados estrictamente necesarios para ejecutar las aplicaciones.
02. Revisión manual.
El primer análisis consistió en instalar la aplicación y familiarizarnos con ella. Esto permite identificar todas las funciones de la aplicación y revisar varias cosas más, a saber:
-
- Si los links a los avisos de privacidad son correctos.
- Qué datos de registro y uso solicita la app.
- Qué permisos de acceso solicita durante su funcionamiento.
03. Análisis estático5.
Realizamos un análisis estático a través del portal de Exodus Privacy. Esto nos permitió detectar los rastreadores presentes en cada aplicación6 y los permisos embebidos en el código. Estos permisos los comparamos con los permisos que proporciona la descripción en la PlayStore y los que se piden durante el uso de la aplicación. Los clasificamos en permisos obligatorios, permisos opcionales que hacen que la aplicación pierda funcionalidad y permisos opcionales.
04. Análisis dinámico.
Realizamos subsecuentemente un análisis del tráfico de red utilizando un servidor con Ubuntu Server y Wireguard. Aquí el enlace al tutorial que explica los pasos que seguimos y que permite replicar el proceso.
Rastreadores por aplicación7
Un rastreador es un pequeño programa que viene dentro de las aplicaciones que descargamos, tiene la finalidad de recopilar datos de uso de la aplicación y de las personas usuarias para conocer hábitos de uso, sugerir publicidad dirigida, registrar errores en la aplicación y más.
Rastreadores de analítica
Por lo general, este tipo de rastreadores miden una serie de indicadores de uso de las aplicaciones, por ejemplo, a qué hora se abre una aplicación, a qué hora se cierra, tiempo de uso, funciones utilizadas, tiempo que estuvo la persona usuaria realizando una acción específica, etc. Estas mediciones se usan en particular para el desarrollo de la aplicación (mejorar el diseño adictivo) y para marketing.
B612 | Canva | Picsart | Sticker.ly | SweetSelfie | |
Adjust | x | x | |||
AppsFlyer | x | x | x | ||
Facebook Analytics | x | x | x | ||
Google Firebase Analytics | x | x | x | x | x |
Google Tag Manager | x | ||||
Branch | x | x | |||
GIPHY | x | ||||
Inmobi | x | x | x | ||
OpenTelemetry | x | ||||
Segment | x |
Rastreadores de publicidad
Estos rastreadores sirven para mostrar anuncios dirigidos a las personas usuarias.
B612 | Canva | Picsart | Sticker.ly | SweetSelfie | |
Amazon Advertisement | x | x | x | x | |
Facebook Ads | x | x | x | x | |
Fyber | x | ||||
Google AdMob | x | x | x | x | x |
Pangle | x | ||||
Smaato | x | ||||
TapJoy | x | ||||
Unity3dAds | x | x |
Rastreadores de reporte de problemas
Estos rastreadores se utilizan para reportar fallos a los equipos desarrolladores.
B612 | Canva | Picsart | Sticker.ly | SweetSelfie | |
Google Crashlytics | x | x | x | x | x |
BugSnag | x | ||||
Bugly | x |
Rastreadores de identificación
Estos rastreadores sirven para que la persona usuaria se pueda identificar en una aplicación, por ejemplo, en vez de crear una cuenta, se conecta a través de su cuenta de Facebook. Es importante remarcar que esto normalmente genera un intercambio de información entre los dos servicios. También son rastreadores que identifican a una persona usuaria con un ID particular, lo que permite rastrearla en varios servicios.
B612 | Canva | Picsart | Sticker.ly | SweetSelfie | |
Facebook Login | x | x | x | x | x |
VKontakte SDK | x |
Rastreadores varios
Estos rastreadores entran en más de dos de las categorías anteriores
- AppLovin es un rastreador de publicidad, analítica, de identificación y perfilamiento
- Braze es un rastreador de publicidad, ubicación y analítica
- IAB OpenMeasurement es un rastreador de publicidad e identificación
- Moat es un rastreador de publicidad y analítica
- Facebook share sirve para compartir elementos en la propia cuenta de Facebook
B612 | Canva | Picsart | Sticker.ly | SweetSelfie | |
AppLovin | x | x | |||
Braze | x | x | |||
IAB Open Measurement | x | x | |||
Moat | x | ||||
Facebook Share | x | x | x | x | x |
Conclusiones sobre rastreadores:
- Todas las aplicaciones utilizan más de tres rastreadores de analítica. Por lo general estos rastreadores se configuran a gusto o decisión del equipo desarrollador8, lo que dificulta saber exactamente cuáles son los indicadores de uso que están recogiendo. Aun así, por lo general, estos indicadores se utilizan, como ya lo dijimos, para mejorar las aplicaciones: hacerlas más eficaces, pero también más adictivas. Asimismo suelen recolectar toda una serie de datos, entre ellos el Android ID, modelo y marca del celular, versión y número de versión del sistema operativo para vincular las métricas que recolectan a un dispositivo en particular. Así, consideramos preocupante en términos de privacidad el uso excesivo de estos rastreadores. Aunque los datos recolectados sean anónimos, es a través de estos datos que se generan perfiles de uso de las aplicaciones lo que permite modificar conductas de uso y permite, además, los anuncios dirigidos, entre otros.
- A excepción de Canva, que tiene un sólo rastreador de publicidad, las demás apps tienen varios tipos de rastreadores. Estos rastreadores no sólo dirigen anuncios dirigidos a las personas usuarias, sino que recolectan información sobre la interacción que tuvo la persona usuaria con el anuncio: ¿le dio click?,¿cuánto tiempo interactuó o lo vio?, etc.
- El uso de rastreadores de fallos permite a los equipos desarrolladores arreglar problemas en el código. Vale la pena recordar que estos rastreadores recopilan cierta información del dispositivo, como hora del fallo, sistema operativo, modelo y marca, etc. Sobre este tema es importante aclarar que el uso de este tipo de rastreadores (y de todos en general) debe hacerse siempre de manera responsable, es decir, recopilando el menor número de datos necesarios y transparentando su uso. Incluso, consideramos, es necesario permitir a la persona usuaria decidir si quiere o no compartir estos datos.
- Por último, los rastreadores de identificación no son en sí mismos problemáticos para la privacidad, en tanto que permiten conectar cuentas y la persona usuaria tiene la posibilidad de elegir si hacerlo o no. Lo que es importante entender es que la persona usuaria, cuando conecta servicios, por lo general permite que estos compartan información entre ellos. Ello podría generar que Facebook sepa más de nuestros hábitos y características o, al contrario, que la aplicación tenga acceso a datos como la foto de perfil, nombre completo, fecha de nacimiento y otros datos personales que están por lo general guardados en Facebook.
Empresas relacionadas con cada aplicación
El ecosistema de empresas que están detrás de estas aplicaciones, ya sea de manera directa o porque se utiliza alguna tecnología proporcionada por x o y empresa es muy vasto.
Conclusiones sobre empresas
En los reportes particulares de cada aplicación se explica con más detalle cómo se relaciona y qué función tiene cada una de estas empresas. Algunas empresas son CDN’s9, otras rentan servidores para guardar datos, otras son de publicidad, otras son para la implementación de ciertas tecnologías, etc. Nos interesa destacar la cantidad de empresas relacionadas con una aplicación particular (incluidas las parent companies) y, que, como personas usuarias, probablemente no tenemos conocimiento. En este sentido, a través de esta tabla, hacemos notar el vasto ecosistema que rodea, en este caso, a las aplicaciones de edición de fotos aunque, probablemente, nos encontremos algo muy similar en un sinfín de otro tipo de aplicaciones.
Por lo general, en los avisos de privacidad se estipula que los datos recolectados de las personas usuarias pueden o no ser compartidos con terceros. Pero muchas veces, cuando las empresas están relacionadas entre ellas (una es dueña de otra o tienen relaciones contractuales) los datos pueden ser compartidos entre ellas y no califican como terceros. Consulta más en la ficha de cada aplicación donde hay un análisis detallado de los avisos de privacidad y la recolección de datos.
Permisos por aplicación
La siguiente tabla muestra los permisos que requiere cada aplicación para funcionar.
Ubicación y redes
B612 | Canva | Picsart | Sticker.ly | SweetSelfie | |
Ubicación aproximada | x | x | |||
Ubicación precisa (GPS) | x | x | |||
Acceso a WiFi | x | x | x | x | x |
Acceso a Internet | x | x | x | x | x |
Multimedia y archivos
B612 | Canva | Picsart | Sticker.ly | SweetSelfie | |
Acceso al tapiz de fondo | x | ||||
Acceso a cámara (incluye grabar audio) | x | x | x | x | |
Acceso a carpetas multimedia en el celular | x | ||||
Leer y escribir en el almacenamiento externo | x | x | x | x |
Otros permisos
B612 | Canva | Picsart | Sticker.ly | SweetSelfie | |
Conocer qué otras aplicaciones están en ejecución | x | ||||
Mostrar notificaciones | x | x | |||
Acceso a contactos | x | ||||
Reconocimiento de actividades (si el usuario está manejando o corriendo, por ejemplo) | x | ||||
Acceso al Android ID | x | x | x | x | x |
Conclusiones sobre permisos
- Todas las aplicaciones tienen acceso al permiso AD_ID, que es el identificador de anuncios de Android. En ese sentido, todas ellas están identificando al usuario para que pueda recibir anuncios dirigidos y sea más fácil recolectar métricas analíticas de uso.
- B612 y Picsart piden acceso a la ubicación. Esto tiene que ver probablemente más con los rastreadores y la información que recaban de las personas usuarias para perfilarlas que con las funcionalidades concretas de la aplicación.
- En el sentido anterior, B612 tiene acceso a las apps que están en ejecución y Picsart a acciones de la persona usuaria como si éste está caminando o conduciendo. Una vez más, esto sirve para perfilar al usuario.
- En general los permisos, fuera de los ya mencionados, corresponden con la funcionalidad de las aplicaciones.
Problemas de seguridad y privacidad
- La aplicación B612 no cifra todas sus comunicaciones con los servidores. Este es el único problema flagrante de seguridad que encontramos10
- Las aplicaciones B612 y Picsart tienen activados permisos de ubicación que no son necesarios para su funcionamiento, así como los permisos que permiten identificar actividades iniciadas por las personas usuarias (caminar, conducir) o reconocer qué otras aplicaciones se están ejecutando.
- La cantidad de rastreadores presentes en todas las aplicaciones son muchísimos y todas las aplicaciones están utilizando estos rastreadores para perfilar personas usuarias y proporcionarles anuncios dirigidos, en ese sentido el uso de estos rastreadores es incongruente con las funciones de estas aplicaciones.
- Como se trata de aplicaciones de foto y video, los metadatos presentes en estos dos tipos de archivos podrían estar expuestos si los usuarios comparten estas fotos en redes sociales que no limpian los metadatos de manera automática.
Recomendaciones para las personas usuarias
01.
Recuerda que antes de descargar cualquier aplicación es una buena idea revisar los permisos y los datos que recopila la aplicación en la sección de seguridad de la Playstore. Esto te permitirá poder decidir entre diferentes aplicaciones y escoger la que más te convenga. Aquí una guía: https://socialtic.org/blog/nueva-seccion-de-privacidad-de-la-google-play-store/
02.
Recomendamos no iniciar sesión con una cuenta de redes sociales o de manera automática con nuestra cuenta de Google en ninguna de estas aplicaciones para así evitar la compartición de datos entre cuentas (Facebook, Instagram, Google, etc.). Si es necesario iniciar sesión, mejor crear una cuenta con una contraseña y un email.
03.
Recomendamos no tener activada la ubicación en el celular (GPS) a la hora de grabar los vídeos y las fotos. Las aplicaciones de cámara que vienen en los celulares normalmente, si la geolocalización está activa, introducen la información de la ubicación en la foto o video. Esto tiene varias funciones, entre ellas poder filtrar fotos y video en la galería del celular a través de la ubicación. Si la ubicación no está activa, entonces esta información no se almacena en las fotos y videos. Otra opción es negarle el permiso de acceso a la ubicación a la aplicación de la cámara cuando nos pregunta y, en caso de habérselo dado, quitárselo. Agregamos el link aquí a dos herramientas que te permitirán quitar los metadatos de todos tus archivos: Exiftool y ExifCleaner.
04.
Debido al alto número de rastreadores presentes, sería prudente desinstalarlas del celular para limitar la cantidad de datos que se otorgan, siempre y cuando no se utilicen de manera frecuente.
05.
Como todas las aplicaciones tienen acceso al Android ID, lo mejor sería estarlo reseteando de manera continua para así disminuir la eficacia de los anuncios dirigidos. También, a partir de Android 12, se puede borrar completamente este identificador siguiendo el tutorial antes mencionado.
Contenido de interés
- Este permiso, de manera general, permite que el dispositivo identifique si la persona usuaria está realizando alguna acción como manejar, andar en bicicleta, correr, etc. Dicho permiso lo utilizan apps que sirven para reconocer distancias recorridas en deportes, por ejemplo. U otras de seguridad para silenciar notificaciones si se identifica que la persona usuaria está manejando. En este caso, creemos, este permiso sirve para recopilar datos sobre actividades de la persona usuaria y así poder perfilarlo.
- En la actualización 12.2.5 este error de seguridad ya se encuentra corregido
- Como hicimos varios análisis posteriores debido a las actualizaciones de las aplicaciones, también utilizamos Lineage OS 19.1 (Android 12). Esto, sin embargo, no alteró ningún resultado.
- En términos generales el tráfico de red son los paquetes de datos que se envían y reciben desde el celular a través de internet.
- El análisis estático se refiere al análisis del código de la aplicación.
- Además comparamos estos resultados con los resultados que arrojó la aplicación Tracker Control. No hubo ninguna diferencia entre los resultados arrojados.
- La clasificación que utilizamos se corresponde con la utilizada por el proyecto ETIP.
- Dependiendo del rastreador que se utilice, las opciones de configuración del mismo pueden permitir recolectar ciertos datos y otros no. Dependiendo de para qué se utilizan los datos, a veces será necesario recolectar más o menos, de un tipo o de otro. En todo caso, la presencia de un rastreador por sí misma, permite saber (cuando se lee la documentación del mismo) cuáles datos podría estar recopilando, pero no cuáles datos sí está recopilando.
- Content Delivery Network; en español, red de entrega de contenido. En esta sección puedes aprender más al respecto: https://datavoros.org/aprende/.
- En la última versión de la aplicación, la número 12.2.5, este problema ya no persiste.