¿Tienes alguna aplicación del tiempo instalada en tu móvil? Puede que AccuWeather sea una de tus favoritas. Porque de hecho, también es una de las más descargadas. Sin ir más lejos, solo para Android se apunta entre 50 y 100 millones de descargas. Y se ha convertido en app meteorológica de referencia. Tanto para iOS como para Android. Ahora, sin embargo, acabamos de conocer una noticia que nos ha dejado helados.
Un experto en seguridad llamado Will Strafach acaba de descubrir que la versión de AccuWeather para iOS podría estar engañando a los usuarios. Y, por si esto fuera poco, vulnerando los términos del servicio que Apple obliga a cumplir a los desarrolladores.
Según este investigador, si en tu iPhone o iPad negaras a AccuWeather la posibilidad de acceder a tus datos de ubicación, la aplicación seguiría enviando datos WiFi. Con información sobre el nombre de tu router y el BSSID, Que no es otra cosa que el Basic Service Set Identifier. Un nombre de identificación único de una red de área local inalámbrica (WLAN).
También se recopilaría y compartiría información sobre la localización de coordenadas por GPS. Y ahí estarían datos tan importantes, como por ejemplo la velocidad o la altitud. ¿Y a quién los estaría enviando? Pues a una empresa llamada Reveal Mobile, que se dedicaría a proporcionar anuncios de terceros. La tormenta está servida.
https://twitter.com/chronic/status/898659196014653440
AccuWeather podría vender tus datos a terceros
En realidad, el responsable de este estudio, Will Strafach, afirma que no estaba estudiando esta cuestión en concreto. En realidad, lo que hacía es investigar un problema de seguridad de la versión de AccuWeather para iOS.
Sin embargo, mientras las llevaba a cabo, se dio cuenta de que la aplicación envió datos a Reveal Mobile, la citada empresa, que está instalada como una SDK de terceros en AccuWeather. Lo peor de todo es que estos datos fueron enviados hasta en 16 ocasiones en un tramo de 36 horas.
Hablamos, según este experto, de datos muy valiosos para AccuWeather. Pero sobre todo para Reveal Mobile. Que sería una empresa experta en recolectar datos. Y también en venderlos.
AccuWeather ejecutaría una localización constante
La aplicación solicita un permiso al usuario de localización constante. Y esto funcionaría aunque no estemos dentro de AccuWeather. Lo peor de todo es que esta recolección de datos no solo se ejecutaría vía WiFi, sino también a través de Bluetooth.
La excusa que AccuWeather pone respecto a la sibilina tarea que está ejecutando queda camuflada en un mensaje que aparece después de instalar la aplicación. Y es el siguiente: «Si permite la localización en segundo plano podremos enviarle alertas sobre las condiciones climatológicas adversas y actualizaciones críticas en su zona; ¡además, la aplicación tardará menos en abrirse!».
No hay más información que explique la operativa de AccuWeather. No explícitamente en esas pantallas, más visibles para los usuarios. Sí hablan sobre la posibilidad de que terceros recopilen datos de los usuarios, pero en la declaración de privacidad. Ese documento compuesto única y exclusivamente de letra pequeña que casi nadie lee.
Lo peor de todo, en definitiva, tendría que ver con el hecho de que AccuWeather sea capaz de seguir enviando y vendiendo datos a esta empresa de terceros, aunque el usuario no haya aceptado los datos de localización. Estos podrían ser compartidos sin ningún consentimiento expreso por parte de la persona que ha descargado la aplicación con objetivos puramente comerciales.
