Yandex, a veces llamada la versión rusa de Google, recopila datos de millones de usuarios de iOS y los envía a Rusia, según un nuevo informe.
Yandex recolecta los datos de los usuarios de iOS y los envía a Rusia
Al igual que Google y otros equipos similares, Yandex mantiene un motor de búsqueda, herramientas publicitarias y otros servicios. Entre sus productos se encuentra la API de AppMetrica. Muchos desarrolladores lo utilizan como una forma sencilla de obtener datos analíticos para sus aplicaciones.
El investigador de seguridad Zach Edwards descubrió que el código analítico de Yandex está incrustado en 52 000 aplicaciones en El software de Apple y Google, donde puede llegar a "cientos de millones de consumidores", según un nuevo informe en el tiempo financiero. El periódico reclutó a otros cuatro expertos para corroborar su investigación.
Por su parte, Yandex reconoció que los datos recopilados a través de su API y otros servicios terminan en servidores rusos. La compañía dijo que tiene un proceso "muy estricto" para responder a las solicitudes de datos del gobierno. El proceso incluye el rechazo de solicitudes que no cumplen con los "requisitos legales y de procedimiento pertinentes".
Pero los expertos en seguridad advierten que una vez que los datos se almacenan en Rusia, una empresa como Yandex no puede hacer mucho para evitar que el gobierno ruso los obtenga.
Y algunos de los datos que recopila la API de Yandex incluyen metadatos. Con los metadatos en la mano, las empresas u otras entidades pueden identificar a los usuarios.
“Para las personas con un perfil de alta amenaza o que trabajan en trabajos de alto perfil, usar aplicaciones que envían estos datos a Moscú es peligroso y potencialmente puede conducir a ataques en redes domésticas u otras formas de vigilancia digital”, Edwards dijo.
Cientos de millones de descargas
Las aplicaciones que utilizan la API de AppMetrica incluyen servicios de mensajería, herramientas para compartir la ubicación, juegos y "cientos" de redes privadas virtuales (VPN). Siete de los investigadores de VPN identificaron audiencias ucranianas objetivo. Las descargas totales de aplicaciones con la API alcanzan los cientos de millones, según el informe.
Yandex comparó su API con kits de desarrollo similares que proporcionan Google. Y la compañía mencionó que "nunca ha dado ninguna información sobre los usuarios de ninguna aplicación con AppMetrica instalada, ni se nos ha pedido que lo hagamos".
En respuesta a la situación, Apple dijo que su Tecnología de transparencia de seguimiento de aplicaciones puede detener la API de AppMetrica.