TikTok recopiló ilegalmente datos de móviles Android durante 15 meses
La app se aprovechó de un fallo de seguridad en los smartphones para quedarse la dirección MAC, algo prohibido.
Hace una semana, el presidente de los Estados Unidos Donald Trump, firmó una orden ejecutiva para prohibir "cualquier transacción" con TikTok después de 45 días si su propietario, la china Bytedance, no vende sus operaciones en Estados Unidos a una compañía local, la cual pueda controlar así lo que la app de origen chino hace en suelo americano -de hecho, y dado que TikTok es la app viral del momento, Microsoft y Twitter ya se han interesado en comprarlas.
¿El motivo de semejante decisión política sobre una aplicación móvil? Las preocupaciones de que los datos que recoge la red social de vídeos musicales sean usados para labores de contrainteligencia por el Partido Comunista Chino. ¿La opinión de TikTok? Que estas medidas constituyen “un precedente peligroso para la libertad de expresión”. Y ciertamente lo son, pero también se ven con otros ojos tras lo sucedido una semana después.
La prohibición de las direcciones MAC
Para quien no lo conozca, una dirección MAC es básicamente el identificador de cualquier tipo de hardware utilizado para conectarse a una red. Se la conoce también como dirección física, y es única para cada dispositivo. De esta manera, con la dirección MAC puedes identificar qué tipo de hardware tiene el dispositivo conectado a la Red, por ejemplo smartphones.
Por tanto, las direcciones MAC tienen un valor publicitario añadido, aunque desde el 2015, Android no permite que las aplicaciones obtengan estos datos de los móviles en las que son instaladas. Y cualquier tipo de aplicación que recopile una dirección MAC está incurriendo en una ilegalidad, ya que se trata de una práctica prohibida por Google. Y esto es precisamente lo que TikTok ha estado haciendo durante casi un año y medio nada menos.
El fallo de seguridad Android que TikTok aprovechó
De acuerdo a una investigación hecha por el Wall Street Journal, que hace poco también mostró cómo 500 apps recopilaron datos ilegalmente del GPS de millones de móviles para venderlos luego incluso a agencias gubernamentales de los EEUU, la aplicación de TikTok aprovechó un fallo de seguridad en móviles Android para recopilar durante 15 meses datos de los móviles de sus usuarios entre los que se encuentra la dirección MAC.
Tras una actualización en 2018, y a sabiendas que lo que hacía era ir contra las leyes de Google y Android, TikTok accedió a las direcciones MAC de quienes usaban su app utilizando una solución alternativa que aprovechaba un fallo de seguridad presente en el sistema operativo móvil de Google. Una práctica que hizo durante más de un año hasta noviembre del pasado 2019.
¿Cómo lo hacía? Según el informe del Wall Steet Journal, en el momento en que instalabas TikTok o lo iniciabas por primera vez, la app ya estaba enviando a la multinacional china Bytedance las direcciones MAC junto con más datos de los dispositivos. Dichos datos podían utilizarse para conectar los identificadores nuevos con los dispositivos antiguos y así rastrear a los usuarios con fines publicitarios, mediante la técnica del 'puenteo de ID.
TikTok borró el acceso a las direcciones MAC
¿Sigue TikTok con esta práctica? No, porque ese acceso y recopilación ilegales a las direcciones MAC fue eliminado de la app mediante un update que salió en noviembre de 2019. Pero aún así, han sido 15 meses de una práctica que claramente contravenía las reglas de Android, ya que las políticas de Google Play establecen que las aplicaciones que accedan a cualquier dato personal, entre los que se incluyen las direcciones MAC, “deben contar con el permiso explícito de los usuarios”.