Se ha descubierto que la aplicación TikTok para Android explota los servicios de Play Store para agrupar publicidad personalizada sin el consentimiento de los usuarios.. Esta práctica está prohibida oficialmente por Google para todas las aplicaciones cargadas en su repositorio..
TikTok recopila datos privados a pesar de la prohibición oficial de Google: Ofrece publicidad personalizada a los usuarios
Se ha encontrado la popular aplicación móvil TikTok romper las reglas de Google sobre la recopilación de datos. Parece que la empresa pudo encontrar una laguna que permitía que la aplicación recopilar los ID de MAC de la red de los dispositivos. Corresponden a cada interfaz de red única (módem de datos móviles) y puede servir como una forma de rastrear a los usuarios.
La aplicación era conocida por recopilar este valor en 2018 y 2019 y luego supuestamente detuvo esta práctica siguiendo las reglas establecidas por Google. Las regulaciones de la plataforma de Google Play Store prohibieron esto en 2015 siguiendo a Apple, que prohibió que las aplicaciones accedan a los ID de dispositivos en 2013.
Aparentemente, TikTok pudo encontrar una laguna en los Servicios de Play para continuar con esta práctica.. Reportes de noticias indican que esto es posible incluso versiones más nuevas de los servicios de Google, indicando que la debilidad de la seguridad permanece sin parchear. Una investigación ha descubierto que durante la correspondencia del tráfico de red, la aplicación móvil de Android envía ID de MAC junto con otros datos cuando se instala y abre inicialmente en un dispositivo determinado..
En este flujo de red hay una identificación publicitaria evidente de 32 dígitos que permite a los anunciantes rastrear fácilmente el comportamiento de los consumidores.. Es posible restablecer este dígito, pero esto simplemente borrará el estado actual y comenzará a recopilar datos una vez más. Cuando la ID de MAC de la interfaz de red se combina con esta ID de publicidad, TikTok puede obtener mucha más información sobre los usuarios.. Un proceso llamado Puente de ID puede permitir que TikTok se conecte a más (inactivo) ID de publicidad que pueden incluir otra información recopilada en el pasado.
Esta laguna también es utilizada por otras aplicaciones., especialmente juegos gratuitos que incluyen micro transacciones y publicidad para monetizar los contenidos. TikTok ha declarado que han actualizado su aplicación y ya no utilizan esta práctica..
Lectura adicional: TikTok fue recientemente objetivo de una estafa de phishing.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: