Hace ya mucho tiempo analizamos la seguridad de forma superficial de los dispositivos con iPhone OS, y ahora le llega el turno para Android, por supuesto sin profundizar demasiado en cuestiones de toda su arquitectura. Otro asunto interesante es la gran cantidad de información que las aplicaciones de los dispositivos portátiles (en especial Android e iPhone OS) roban que cada vez más usuarios denuncian en sus dispositivos portátiles (me refiero a cualquier dispositivo, no solo a Android), puesto que cada vez son más las aplicaciones las que acceden más y más a nuestros datos para enviarlos después a bases de datos de terceros. Y es que hablamos de robo cuando dicha aplicación no requiere de autorización para ello. Recientemente han aparecido en diferentes sites advertencias a los usuarios de terminales “inteligentes”, instándoles a tener sumo cuidado sobre las aplicaciones que instalan, puesto que muchas de ellas envían diferentes datos sobre su dispositivo a terceras personas, a veces con autorización y a veces sin ella. También me gustaría analizar las recientes palabras de parte de la compañía de Antivirus Sophos, la cual aseguraba que Android es menos seguro que iPhone OS(Lo analizaremos más adelante)
Uno de los primeros pasos a la hora de analizar la seguridad (de cara a un posible ente externo) es comprobar los servicios visibles externamente, puesto que son la primera puerta ante cualquier ataque externo. La mejor forma para ello es escanear todos los puertos del sistema, tanto puertos TCP como UDP. (Todas las pruebas realizadas hacia Android se han realizado sobre una versión AOSP 2.2.1 pura)
Escaner completo de puertos TCP y UDP:
#nmap -A -p1-65535 Androide.
Starting Nmap 5.36TEST3 ( http://nmap.org ) at 2011-01-15 15:12 Hora estßndar romance
Nmap scan report for Androide. (192.168.x.100)
Host is up (0.063s latency).
rDNS record for 192.168.x.100: Androide
All 65535 scanned ports on Androide. (192.168.x.100) are closed
MAC Address: 90:xx:xx:xx:xx:xx
Too many fingerprints match this host to give specific OS details
Network Distance: 1 hop
#nmap -A -p1-65535 -sU Androide.
Starting Nmap 5.36TEST3 ( http://nmap.org ) at 2011-01-16 10:41 Hora estßndar romance
Nmap scan report for Androide. (192.168.x.100)
Host is up (0.053s latency).
rDNS record for 192.168.x.100: Androide
All 65535 scanned ports on Androide. (192.168.x.100) are closed
MAC Address: 90:xx:xx:xx:xx:xx
Too many fingerprints match this host to give specific OS details
Network Distance: 1 hop
Ante la falta de resultados, comencé a creer que Android tendría algún tipo de firewall interno basado posiblemente en iptables que detectaba el escaner, pero nada más lejos, cuando se instala un servidor SSH efectivamente el puerto 22 se abre y cualquier escáner lo detecta. Podemos por tanto tomar nota de las primeras dos conclusiones:
- La primera es que Android no tiene por defecto ningún puerto abierto. Recordemos que en su defecto, iPhone OS por defecto posee dos puertos: Puerto 53533UDP y Puerto 62078 TCP.
- La segunda, es que al poseer todos los puertos cerrados, cualquier escaner tiene mucho más complicado el poder reconocer el OS objetivo, en este caso nmap no es capaz de especificarlo, todo lo contrario de lo que sucedería si escaneásemos un dispositivo iPhone OS.
Visto esto, la posibilidad de un exploit o un ataque DoS directo al sistema se reduce considerablemente, teniendo en cuenta además la imposibilidad del atacante de conocer que sistema operativo posee la víctima. De este modo, básicamente el riesgo en cuanto a seguridad se refiere se reduce a un exploit directo sobre el dispositivo de manera local (dispositivo en mano), el navegador Web, los SMS y en todo caso los gestores de correo. Es evidente que ningún software por seguro que sea es invulnerable y los exploits siempre van a existir, la cuestión es el número, la gravedad y la velocidad de reacción por parte de los programadores que se encargan de mantener un software limpio.
No obstante, el diseño interno de Android hace de este que sea bastante seguro. Todas las aplicaciones (cada una de ellas) que se ejecutan bajo Android corren a cargo de una máquina Dalvik independiente, es decir, cada aplicación en si misma es algo así como una caja negra, lo que ayuda a que cualquier vulnerabilidad que pueda acusar a una aplicación concreta no exceda de su propio ámbito, manteniendo el resto de aplicaciones y al sistema propio más seguro. Este sistema no solo ayuda a la seguridad en general del sistema, sino que ayuda a que la multitarea de Android sea más eficiente (Recordemos que la multitarea de Android es realmente multitarea, al contrario de lo que sucede en iPhone, en el que la multitarea es cuanto menos parcial). Por supuesto, como he dicho, esto no exime a Android de ser objetivo de exploits.
Según Sophos, Android es un sistema más inseguro que iPhone OS porque según ellos es de código abierto. No obstante, esto es desde mi punto de vista uno de los motivos por los cuales Android es más seguro que iPhone OS. Es cierto que cualquier producto de código abierto está expuesto a un mayor escrutinio por parte de expertos en seguridad, y por tanto es más fácil encontrar exploits y otros fallos de programación. No obstante también hace que cualquier fallo de seguridad o programación sea detectado a una mayor velocidad y que este sea corregido con la mayor brevedad posible. Creo que fundamentalmente es una cuestión de “gustos” y de como afecta al usuario final. La filosofía de Apple es completamente contraria a la filosofía de Google frente a Android. Para los primeros el secreto y la ausencia de información es positivo por dos motivos principales, primero por la mala prensa que origina cualquier fallo de seguridad en sus productos y segundo porque mientras que el fallo de seguridad sea desconocido, tan solo estará al alcance de “unos cuantos” y no tendrán necesidad de corregir el fallo en meses. Para Google y muchos otros que apuestan por el código abierto piensan que la forma más eficiente de hacer seguro un software es que no solo tengan acceso a su código 10, 100 o mil personas, sino millones!! a la par de que cualquier fallo de seguridad encontrado sea perfectamente catalogado y hecho público, puesto que la única forma de protección ante un ataque de esta índole es la información, no el ocultismo. El primer método es bueno para el bolsillo a corto plazo, el segundo método da confianza y seguridad a todos. Preferimos un software plagado de fallos de seguridad que saben a ciencia exacta cientos de personas con intenciones nada buenas o preferimos un software mucho más seguro cuyos fallos de seguridad conocen los mismos cientos de personas con malas intenciones y otras tantas cientos o miles que sinceramente no entienden mucho sobre ello. Yo creo que es mucho mejor lo segundo, porque siempre puedes educarles y enseñarles, y por supuesto publicar las correcciones de software en el menor tiempo posible, no esperar meses o años a que dichos fallos se corrijan.
En otro orden de cosas, y una cuestión igualmente importante es la información que damos voluntariamente o involuntariamente a terceros. Que Google sea la compañía que es hoy en día, se debe en gran medida al mayor de los poderes que existen a día de hoy: La información. La información a día de hoy lo es todo. Os voy a explicar un ejemplo real que sucedió hace unos días, para que comprendáis a que me refiero.
Hace unos meses, por septiembre creo recordar, Google cambió su logo de portada a un logo animado la mar de simpático que mostraba una serie de bolas que parecían atraerse o repelerse en función de donde estuviese el puntero del ratón. Generalmente Google siempre da información sobre el logo en cuestión cuando se hace clic en la imagen, pero esta vez no fue así. La expectación fue tal que cientos, miles, millones de personas una de las primeras cosas que hicieron (un servidor incluido) fue buscar en Google el posible motivo de dicho logo, y llevó a buscar en Google términos como: “Magnetic Balls”. La casualidad o el azar hizo que una web de juegos de bolas magnéticas apareciese en el primer o segundo puesto de la búsqueda de Google (una web completamente ajena a Google). Esto hizo a su vez que las visitas a dicha web no solo se multiplicaran por miles y cientos de miles, sino que dicha empresa recibió dicho día una cantidad sin precedentes de pedidos, cientos de miles de pedidos dicho día. Simplemente fue necesario una pregunta que se hicieron muchos para que una empresa se hiciese de oro sin hacer absolutamente nada. Ese es el poder de la información.
Pero Google no es el único que conoce esto, y cada vez son más las empresas que se dedican a recopilar la mayor información posible de los usuarios, incluso información que a priori para la mayoría sería completamente inservible. Desde nuestros datos personales, tendencias, ubicaciones, historiales de navegación, gustos… todo ello puede ser usado desde el uso de publicidad dirigida, spam, venta de datos a otras terceras o cuartas personas, estadísticos, con fines de control, para fines delictivos. El problema en la actualidad es que el comportamiento descuidado de la mayoría de los usuarios, así como la aparente despreocupación de estos en tanto a sus datos, produce que cada vez más estemos expuestos a este tipo de ataques. Es aquí donde las aplicaciones móviles juegan un papel indispensable para estas empresas, ya que son una fuente infinita de información, la posibilidad de acceder a las agendas, ubicación, costumbres… de cada usuario es sin duda alguna un filón de oro.
La teoría dice que el usuario siempre tendría que tener el control total sobre los datos que desea compartir, pero la práctica dice que las empresas no siempre cumplen esto. Evidentemente esto no es solo una cuestión de los desarrolladores de este tipo de software, sino que son los propios dispositivos los que deben de tener importantes políticas de privacidad para así poder advertir en todo momento al usuario de las pretensiones de la aplicación. Por supuesto, incluso con estas medidas, es el usuario final quien debería de aceptar el acceso a dicha información o no, lo cual de nuevo devuelve parte del problema a la despreocupación de los usuarios ante que información comparten.
Hace unos días, un estudio realizado (no recuerdo la fuente, lo siento) declaraba que despúes de analizar cientos de aplicaciones tanto para Android como para iPhone OS, eran muchas las que intentaban acaparar más datos de los necesarios. Aquí, a los usuarios de iPhone OS la mayoría de las veces ni siquiera se les pedía confirmación ni advertencia sobre los datos y recursos que serían compartidos o usados por las aplicaciones, mientras que Android avisaba de forma rigurosa al instalar la aplicación de todos y aquellos recursos a los que la aplicación accedería (lo cual no quiere decir que no se recopilen datos, solo que para instalar la aplicación el usuario debe de aceptar el acceso a dichos datos, con lo que puede negarse si así lo desea).
Google, aunque parezca lo contrario tiene un gran historial en cuanto a privacidad de datos se refiere, y aun cuando posiblemente posee las mayores bases de datos de todos nosotros, no quiere decir que se tome a risa dichas amenazas. Cualquiera con un terminal Android puede si quiere acceder a una sección específica del dispositivo llamada “Permisos” (dentro de Ajustes/Aplicaciones) para poder ver TODOS y cada uno de los diferentes permisos que posee Android y TODAS y cada una de las aplicaciones que hacen uso de ellos. No obstante, una cosa es lo que digan estudios realizados por otras personas, y otra que yo me los crea, así que (y sin querer en absoluto menospreciar el trabajo de otros) no puedo sino verificar o desmentir dichos datos. A fin de cuenta el asunto de Sophos citado anteriormente es una cuestión de punto de vista, esto es una cuestión objetiva que no se puede tener una opinión, sino una certeza.
En este caso se realizaron todas las pruebas sobre un dispositivo Android AOSP 2.2.1 con varias aplicaciones instaladadas, un buen variado para comprobar si nuestro dispositivo comparte o no información con el exterior sin nuestro consentimiento, y de hacerlo que tipo de información (sea con o sin consentimiento). Para ello nada más sencillo que colocar un sniffer dentro del propio terminal, colocar un servidor proxy en el router… cualquier técnica es válida. La cuestión es que en un arranque en frío, esto es todo lo que encontramos (sincronización de datos deshabilitada):
- Hora: El dispositivo Android se comunica con un servidor NTP, tan solo envía su fecha y hora local y recibe la hora y fecha remota (información en texto plano).
- Chequeo de correo electrónico: Comunicación con Gmail, posiblemente (aunque esté deshabilitado la sincronización de datos) porque estaba abierto. La comunicación se realiza por SSL.
- Comprobación de Google Market: Comunicación TCP al puerto 5228 de los servidores de Google. La comunicación se realiza en texto plano cifrado para buscar actualizaciones de las aplicaciones.
- Acceso a los servicios de WhatsApp: Comunicación con los servidores WhatsApp para comprobar el estado del servicio, la validez de la licencia, la conectividad y nuestra ubicación, dicha comunicación se realiza cada 5 minutos exactamente. La comunicación se realiza a través de SSL
No está mal, nuestro dispositivo al estar simplemente conectado a la red no comparte absolutamente ningún dato sensible con terceros, a pesar de tener varias aplicaciones instaladas que se ejecutan como servicios de fondo: ADW Launcher, Handcent SMS… no existe ningún tipo de conexión al exterior. Tan solo aquellas aplicaciones que requieren una conectividad constante con inet como WhatsApp (un servicio de mensajería instantanea), Gtalk… Pero veamos como se comportan las aplicaciones. Hay que tener en cuenta que tan solo puedo testear una cantidad limitada de aplicaciones, no puedo probar las cerca de 200.000 aplicaciones que posee actualmente Android Market. Voy a poner una pequeña lista de las aplicaciones “Probadas”, lo cual no descarto ir ampliando, pero nos permitirá tener una concepción un poco más abierta sobre todo lo que estamos hablando:
- InkPad: Es un bloc de notas, si es la versión lite posee publicidad, pero nada más.
- The Weather Channel: Una aplicación para el tiempo. Evidentemente esta aplicación requiere de conectividad, pero no comparte ningún dato sensible, tan solo la ubicación del dispositivo y cuando se usa dicha opción.
- StockWatcher: Aplicación para la Bolsa. Al igual que Weather Channel, esta aplicación tan solo hace lo que dice, envía la petición de actualizar los datos de la bolsa y punto, no comparte ningún tipo de información con los servidores de Yahoo (a los que conecta)
- handyCalc: Es una calculadora bastante interesante, no obstante envía estadísticas constantemente (aun cuando se deshabilita la opción de depuración). Dichas estadísticas incluyen marca y modelo de nuestro dispositivo, Firmware y versión y algunos otros datos, y todo ello lo envía al servidor data.flurry.com, evidentemente con fines de marketing. La transmisión de los datos se hace en texto plano, y la aplicación ya avisaba al instalarse que requeriría de acceso a la red y del estado del teléfono (lo cual no significa que sepamos que tipo de información transmite). Personalmente? Otra inclusión más al archivo de hosts
- QuickSSHD: Servidor SSH, no tiene comunicación alguna con el exterior.
- Root Explorer: Gestor de archivos. No tiene comunicación alguna con el exterior.
- Advanced Task Killer Free: Un administrador de procesos, en su versión lite muestra publicidad, pero nada más.
- CIFS Manager: Un gestor de SMB, protocolo de Microsoft para acceso a archivos compartidos. No tiene conexión alguna al exterior
- GPS Status: Una aplicación interesante para el GPS. Posee publicidad, y usa la conectividad a Internet para toda la gestión del GPS, como por ejemplo los servidores de Google para el GPS asistido. Por lo demás, no comparte ningún tipo de información con el exterior.
- TubeMate: Aplicación para la descarga y visionado de videos de YT. Además de su función, también verifica la versión de la aplicación. Esta tan solo tiene acceso a la marca y modelo del dispositivo y su idioma, no parece que comparta ningún dato con terceros.
- Jewels: Juego. Tan solo se conecta cuando quiere recuperar o enviar datos de puntuaciones, nada más. Lo realiza por medio de SSL
- Gem Miner: Juego. No tiene acceso al exterior.
- Galcon: Juego. No tiene acceso al exterior.
- Angry Bird: Juego. Todo el mundo conoce ya este juego, lo que no saben es que además de la publicidad, al igual que InkPad recolecta información del usuario por medio de los mismos servidores: data.flurry.com. Modelo, marca, estadísticas de uso… un motivo más para añadir dicho host a nuestro archivo de hosts.
- WordPress: Un gestor de WP. Además del propio blog, se comunica con Gravatar.com para comprobar si hay algún avatar para nuestro site.
- FaceBook: Lo interesante de la aplicación de Facebook es que toda la transmisión de datos se hace en texto plano!! un simple Sniffer y capturaría todo el tráfico de cualquiera. Pero aquí no estamos hablando de la seguridad de las aplicaciones, sino de la gestión de nuestros datos.
- Tuenti: Al igual que la aplicaicón Facebook, no recopila nada diferente a lo que recopilaría en la web original, y al igual que Facebook, toda la comunicación se realiza en texto plano, desde mi opinión una burrada.
- IMO: Una aplicación para gestionar clientes de mensajería instantánea. Evidentemente requiere de conexion a internet, y todo lo hace por medio de SSL, eso sí, a sus servidores propios. No comparte información sensible que no sepamos (evidentemente compartimos las contraseñas o nombres de usuario, las cuales están almacenadas en las bases de datos de ellos de forma cifrada)
- Aplicaciones de Google: Maps, Goggles, Sky, Listen, My Track, Voice, Search, Latitude… ninguna recopila información que no sea obvia. Por ejemplo, es evidente que la aplicación mapas comparte la ubicación del dispositivo, o la aplicación Goggles usa la cámara.
- Handcent SMS: Aplicación para SMS. Tan solo usa la conexión para recursos internos y eso sí, publicidad.
- Otras (Widgets, Launchers, Juegos, Aplicaciones…)
Es interesante como efectivamente, Android parece que es mucho más seguro a la hora de salvaguardar nuestros datos. De más de las 50 aplicaciones probadas (tan solo he listado las 20 primeras), tan solo 2 de ellas comparten información a terceros, información que no nos avisan que usarán con fines comerciales. Por suerte para nosotros, es tan simple como añadir unas entradas a nuestro archivo hosts para impedir que el robo de información continúe, así como la publicidad molesta. Es una lástima que haya empresas que se valgan de estas prácticas.
Tal y como decía el estudio, Android es mucho más segura de cara al robo descarado de nuestros datos de lo que es iPhone OS, en cuya plataforma el índice de aplicaciones que acceden a nuestra información es muy superior, del orden de 5 veces más. 2 de 50 no está nada mal a fin de cuenta.
Repito, que aquí lo importante no es que nuestros datos sean usados con fines comerciales, sino más bien que nuestros datos son usados para dichos fines sin nuestro consentimiento. Sí, Android nos avisa de que la aplicación tendrá acceso a dichos datos, pero evidentemente no especifica que datos en concreto o que harán con dichos datos, la aplicación podría acceder a dicha información tan solo para uso interno. No obstante como digo el balance (al menos por ahora) es positivo.
Un apunte rápido, que no tengo mucho tiempo. Suelo estar de acuerdo con lo que dices, pero esta vez discrepo en un par de cosas.
Soy desarrollador Android (novato, ojo). Sobre la recolección de datos de las 2 aplicaciones que mencionas: lo primero es que no sé qué datos recogen ni con qué fines los utilizan, así que no pretendo ser juez. Lo segundo es que deberían avisar al usuario de qué información recolectan y para qué lo usan, eso es innegable. El servidor ese, flurry, lo tengo apuntado en mi lista de cosas que mirar para después de los exámenes, porque me interesa saber el uso que hacen mis usuarios (tengo un juego en el market), y esa información no pretendo usarla con fines comerciales en absoluto sino mejorar lo posible, porque el feedback ‘manual’ es más bien escaso o nulo.
Por supuesto lo primero que haré será mostrar una advertencia y dar la opción de des/activar el envío de estos informes, soy de los que piensan que el usuario debe elegir en todo. Pero no hay que tachar a nadie por querer saber cómo usan los usuarios su aplicación (con fines de mejorarla, eh).
Y lo otro, quizá es más idóneo comentarlo en el otro post ya que aquí sólo lo mencionas. Pero me tiro a la piscina. Sobre la “molesta publicidad”. Igual que pasa con AdBlock y demás, indirectamente estás perjudicando al desarrollador. Yo tengo publicidad en mis apps. Están publicadas en el Market gratuitamente, y con la publicidad gano apenas unos céntimos al día (hay quien gana más). Siempre procuro que no sea demasiado intrusiva, que si no te interesa la puedas ignorar. Esas mínimas ganancias son las únicas que recibo por mi trabajo, bloqueando la publicidad estás en cierto modo negándome mi única recompensa. No recibo ganancias por otra parte, de hecho publicar en el market cuesta dinero (no me quejo).
Hay aplicaciones que tienen en el market versión gratuita con publicidad y versión de pago sin ella. Lo mismo, bloqueando la publicidad estás obteniendo un equivalente a la versión de pago, sin pagar (aka piratear).
Otro ejemplo: Angry Birds es de pago en iPhone. Cuando lo sacaron para Android decidieron apostar por ponerla gratuita con publicidad (y les salió bien la jugada). Si deciden que ese es el “precio” a pagar, yo lo acepto y punto. Igual que con las aplicaciones de pago, si no quiero pagar ese precio no la uso. (otra cosa es cuando no PUEDES pagar el precio).
De todos modos, no recuerdo ninguna aplicación en Android en que la publicidad sea molesta como para quejarse.
Con esto no quiero parecer como los “artistas” que critican el intercambio de cultura. No digo lo que está bien o mal, ni critico a nadie por hacerlo (diferente sería piratear aplicaciones de 1€, pero eso es otra historia). Sólo quiero dar mi opinión al respecto. Porque ahora que estoy a este lado del cristal, algunas cosas se ven diferentes.
Saludos y sigue con tus geniales artículos, aunque tenga menos tiempo para leerlos los sigo disfrutando igual ;)
Buenas Sloy, estoy de acuerdo a medias
Como dije, el mayor problema de todos no es recolectar información, es no indicar perfectamente que información se comparte y con que propósito. Por supuesto no tengo ningún problema en compartir información de diagnóstico por ejemplo o errores que puedan aparecer en cualquier aplicación, pero no en otros casos. Por ejemplo, en las pruebas que he realizado sinceramente no puedo comprender porqué las aplicaciones que envían datos a flurry necesitan enviar por ejemplo mi IMEI o reportes contantes con la fecha y hora de cada apertura y muchos otros. No criminalizo al programador de ante manos, sino es él quien generalmente no me ha preguntado si estaba de acuerdo con esa recolección de datos, o una opción para permitirlo o no permitirlo. Es cuestión de transparencia y buen hacer, no callar y enviar datos de nuestros dispositivos a saber con que fin, q bien puede ser para fines de diagnósticos o para ensanchar sus bases de datos.
Quizás en el tema de publicidad tu lo has dicho: Intrusismo. No hablo de ello en ninguna aplicación específica, como evidentemente se extrapola a los navegadores de sobremesa por supuesto, pero estarás de acuerdo conmigo de que cada vez se va a mas. Aquí hay dos formas de verlo: Por un lado tenemos a los programadores nóveles que intentan financiar en lo que pueden sus contenidos y que además lo hacen de forma gratuita (no cobran directamente por ello). Peso eso tiene un problema enorme!! mira como ha terminado la web.
Abre Firefox con adblockplus, NoScript y CookieMonster (un bloqueador de galletas)y abre IE cara a cara. Hay webs que simplemente eliminas pequeños banners o publicidad, mientras que hay un gran número de ellas que es que simplemente parecen otras!! Es por eso que aparecieron los bloqueadores de publicidad, no para bloquear un banner o dos de cuando en cuando, sino porque se ha llegado a un punto tal que me arriesgaría a decir que el 80% de todo el tráfico en cargar una web es publicidad (se puede calcular facilmente). Pero aqui no acaba el problema!! porque esas mismas webs no solo inyectan publicidad sin parar, sino que usan Cookies de seguimientos, Cookies de terceros que “roban” todo tipo de datos para sus bases de datos. No hablamos de web aisladas, hablamos de webs que tienen más publicidad que texto.
Es cierto que muchos programadores no tienen culpa de ello, y en parte se puede ver como un pagar por pecadores, pero se ha llegado un punto en el que cada vez era más insostenible. Solo tienes que ver el último anuncio que hizo tanto Mozilla como Google de incluir en sus navegadores de serie herramientas para evitar el uso de estas Cookies, muchas de ellas de sus propios anunciantes.
Ojo! no desmerezco el trabajo de ellos, al revés, creo que hay aplicaciones estupendas, muchas de ellas de pago que aconsejaría comprar a ojos cerrados y muchas de ellas gratuitas que son igualmente una maravilla (con o sin publi). Pero lo que tengo claro es que:
1º. No permitiré en la medida q pueda q un programador intente obtener datos míos (sea cuales sean) sin que yo de mi consentimiento expreso y se me deje claro para que son dichos datos.
2º. Aunque parezca injusto, y créeme q me duele por esa pequeña parte de desarrolladores, prefiero infinitamente más usar bloqueadores de publicidad que permitir inundarnos con una publicidad masiva descontrolada que literalmente deforman el como se navega por la web, aunque como te digo comprendo perfectamente tu postura, y agradezco además que la compartas, como bien dices, las cosas se ven desde prismas diferentes cuando estas a un lado u a otro
Y por supuesto, te animo a que continúes, la verdad no sabía que ya habías hecho algún que otro aporte Androiede (veo que al menos 4 apps?), Y agradezco tus palabras.
De lo que comentas, se me ocurre que el IMEI lo usen para diferenciar a usuarios porque a mi no se me ocurre ninguna otra forma de saber qué estadísticas corresponden a un mismo usuario sin usar datos más personales; y lo de enviar la fecha y hora en la apertura, pues supongo que es la forma de controlar cuánto se usa la aplicación. Esto es pura especulación, no tengo la menor idea de con qué fin se usa (quizá cuando investigue flurry me entere de algo más).
Creo que es cierto lo que dices, el problema aquí es más bien la transparencia. No el qué se envía, sino saber para qué.
Android te avisa de qué permisos usa una aplicación, y creo que sería bueno que el desarrollador especificase para qué se usan cada uno de los permisos. Lo ideal es que viniese integrado en el Market, algunos desarrolladores lo hacen manualmente en la descripción (me ha gustado eso, yo pretendo hacerlo en mis próximas actualizaciones:)
Lo de la publicidad en la web es cierto, yo hasta hace poco usaba también AdBlock (y no sé cuánto aguantaré hasta que vuelva a activarlo), se hace imposible navegar en ciertos sitios. Pero en aplicaciones ya te digo que no he visto un solo anuncio molesto. Al navegar por la web es otra cosa, aunque hay navegadores que permiten complementos y supongo que habrá alguno para evitar publicidad. Personalmente no me preocupo, tampoco navego mucho en el móvil.
Mis aportaciones no son gran cosa :P Dos apps serias, una app de prueba (mi primera trabajo en Android), y un tema para mi juego + otro tema que me retiraron por temas de copyright jeje
PD: Qué gusto poder discutir algo con alguien con bueno argumentos, hacia tiempo que no disfrutaba de ello xD
Hombre, no puedo descifrar de pronto todos los datos que transfieren si no me pongo cno ello en serio. Pero por ponerte un ejemplo, la aplicación ShopSavvy más de lo mismo. Esta por ejemplo registra a ciencia exacta:
ID-key de la aplicación en FLurry
Marca y modelo del dispositivo
Firmware instalada (versión, tipo…)
Registro de las veces que se ha abierto la aplicación o que es lo que se ha echo exactamente desde qeu el usuario la abrió. etc etc, pueden hacer un seguimiento de TODO lo que se hace
Otras veces he visto el IMEI o el número de telefono!!
Formas de identificar de forma única al usuario sin dichos datos? por supuesto!! Sería tan fácil con que la aplicación hiciese un hash MD5 o SHA a por ejemplo una cadena compuesta por el IMEI y el número de telefono, o cualquier cuestion similar.
En realidad es una escalada. Cuantas mas aplicaciones aparezcan más sistemas para monetizarlo aparecerán, y entre ellos spam, banners y las porquerías de siempre. Q sí, q comprendo q cada cual intenta abrirse paso como puede, y que el trabajo de un programador es muy digno!! pero llega un momento en que se cruza una raya. Y en Internet, esa desde mi punto de vista se cruzó hace ya mucho la mayoría de las empresas.
El sistema de Android de notificación de accesos al sistema es muy inteligente, pero de nada sirve si no te dicen para que. Es cierto (las he visto) aplicaciones en Market que en la misma descripción lo aclaran. Por ejemplo, si dice q tiene acceso a la agenda matiza el motivo y cuando lo verificas es cierto. Avisa, y da siempre la opcion al usuario de NO enviar dichos datos, entonces no tendré que crear archivos de hosts dedicados contra ellos. Y es más, soy más respetuosos aun así que ellos, pro la misma razón podría coger los ID de las aplicaciones, forjar paquetes a conciencia y en unos minutos les destrozaba las estadísticas
Flurry es solo un paquete de analíticas gratuito (mirar su web). Envía datos de uso de la app, pues para analizar cómo se usa xd. Fines comerciales no tiene por qué haber
Alf, sé que es Flurry perfectamente pero:
1º. No me da la gana que ninguna aplicación tenga que registrar datos como por ejemplo mi número de teléfono o mi IMEI
2º. Menos aun me da la gana que se recopilen datos de mi sin que se me advierta de ello expresamente y se me de la opción de aceptarlo o no.
Cuando instalo por ejemplo Google Earth, este me pregunta sin problema alguno si quiero enviar estadísticas de forma anónima bla bla bla, e incluso la opción para activarlo/desactivarlo cuando quiera. Me parece perfecto!! ahora, enviar datos como imei, geolocalización en otros casos, telefono… y encima por obligación y sin advertir al usuario? Ni de coña
Por no hablar por supuesto el uso comercial que se le pueda dar a dichos datos. Cuando tu instalas las aplicaciones no aparecen acuerdos de licencia q yo sepa. Puede que si puede que no. Tengo que fiarme de compañías/empresas que no dicen que datos recolectan, para que los recolectan y la opción para que no se recolecten?
Edito:
Te dejo un artículo qeu precisamente explica esto mismo que he dicho:
http://www.informationweek.com/news/internet/google/229403062