Semana fue descubierto ya que una aplicación llamada Path carga todo el contenido de la agenda de contactos desde los iPhones de los usuarios a los servidores de la empresa desarrolladora. Los desarrolladores de la aplicación reconocieron la práctica y lanzaron una actualización para la aplicación resolviendo el problema y pidiendo disculpas a los usuarios. Esta semana se descubrió que Twitter, Facebook, Instagram, Yelp, Foursquare y otras aplicaciones similares toman los mismos datos de la libreta de direcciones sin advertir a los usuarios sobre este aspecto.
Como el problema es bastante importante para los estadounidenses, el Congreso de los EE.UU. enviado hoy una carta al CEO de Apple, Tim Cook, en la que le pide explicaciones sobre cómo las aplicaciones acceden a la libreta de direcciones y transfieren datos desde ella sin el consentimiento de los usuarios. Los congresistas quieren saber la forma en la que Apple controla las aplicaciones que se van a lanzar en la App Store y cómo protege a sus clientes contra el robo de datos, cosas que Apple deberá detallar antes del 29 de febrero.
¿El lado bueno de este escándalo? iOS incluirá una nueva medida de seguridad que nos avisará cuando una aplicación intente coger datos de nuestra libreta de direcciones. Existe un sistema similar para las Notificaciones Push y el GPS, pero creo que en iOS 5.1 tendremos algo parecido para la libreta de contactos.
Sr. Tim Cook
Director ejecutivo de Apple Inc.
1 bucle infinito
Cupertino, CA 95014
Estimado Sr. Cook:
La semana pasada, el desarrollador independiente de aplicaciones para iOS, Arun Thampi, escribió en un blog sobre su descubrimiento de que la aplicación de red social "Path" estaba accediendo y recopilando el contenido de la libreta de direcciones de su iPhone sin haberle pedido nunca su consentimiento.[1] La información tomada sin su permiso –o el de los contactos individuales propietarios de esa información– incluía nombres completos, números de teléfono y direcciones de correo electrónico.[2] Tras la cobertura mediática del descubrimiento del Sr. Thampi, el cofundador y director ejecutivo de Path, Dave Morin, se disculpó rápidamente, prometió eliminar de los servidores de Path todos los datos que había tomado de las libretas de direcciones de sus usuarios y anunció el lanzamiento de una nueva versión de Path que solicitar a los usuarios que opten por compartir los contactos de su libreta de direcciones.[3]
Este incidente plantea dudas sobre si las políticas y prácticas de los desarrolladores de aplicaciones iOS de Apple pueden ser insuficientes cuando se trata de proteger la información de los usuarios de iPhone y sus contactos.
La sección de administración de datos del sitio web para desarrolladores de iOS dice: "iOS tiene una colección completa de herramientas y marcos para almacenar, acceder y compartir datos. . . . Las aplicaciones de iOS incluso tienen acceso a los datos globales de un dispositivo, como los contactos de la libreta de direcciones y las fotos de la biblioteca de fotos". [4] La sección de directrices de revisión de la tienda de aplicaciones establece: "Revisamos cada aplicación de la App Store en función de un conjunto de criterios técnicos, de contenido y de diseño. Estos criterios de revisión ahora están disponibles en las Pautas de revisión de la App Store". [5] Esta misma sección indica que las pautas están disponibles solo para miembros registrados del Programa de desarrolladores de iOS. [6] Sin embargo, los blogs de tecnología que siguen la controversia de Path indican que las Directrices de aplicaciones de iOS exigen que las aplicaciones obtengan el permiso del usuario antes de "transmitir datos sobre un usuario".
A pesar de esta guía, se ha afirmado que "hay un entendimiento silencioso entre muchos desarrolladores de aplicaciones iOS de que es aceptable enviar la libreta de direcciones completa de un usuario, sin su permiso, a servidores remotos y luego almacenarla para referencia futura. Es una práctica común y es probable que muchas empresas tengan su libreta de direcciones almacenada en su base de datos". [8] Un blogger afirma haber realizado una encuesta entre desarrolladores de aplicaciones iOS populares y descubrió que 13 de 15 tenían una "base de datos de contactos con millones de registros". ” – y uno afirma tener una base de datos que contiene “el número de teléfono celular de Mark Zuckerberg, el número de teléfono residencial de Larry Ellison y el número de teléfono celular de Bill Gates”. [9]
El hecho de que la versión anterior de Path haya podido obtener aprobación para su distribución a través de Apple iTunes Store a pesar de tomar el contenido de las libretas de direcciones de los usuarios sin su permiso sugiere que podría haber algo de verdad en estas afirmaciones. Para comprender y evaluar más completamente estas afirmaciones, le solicitamos que responda las siguientes preguntas:
– Describa todas las pautas de aplicaciones de iOS que se refieren a criterios relacionados con la privacidad y seguridad de los datos a los que una aplicación accederá o transmitirá.
- Describa cómo determina si una aplicación cumple con esos criterios.
– ¿Qué datos considera "datos sobre un usuario" que están sujetos al requisito de que la aplicación obtenga el consentimiento del usuario antes de ser transmitidos?
- En la medida en que no se aborde en la respuesta a la pregunta 2, describa cómo determina si una aplicación transmitirá "datos sobre un usuario" y si se ha cumplido el requisito de consentimiento.
– ¿Cuántas aplicaciones de iOS en el iTunes Store de EE. UU. transmiten "datos sobre un usuario"?
– ¿Considera que el contenido de la libreta de direcciones son "datos sobre un usuario"?
– ¿Considera que el contenido de la libreta de direcciones son datos del contacto? En caso contrario, explique por qué no. Explique cómo protege la privacidad y los intereses de seguridad de ese contacto en su información.
– ¿Cuántas aplicaciones de iOS en el iTunes Store de EE. UU. transmiten información desde la libreta de direcciones? ¿Cuántos de ellos piden el consentimiento del usuario antes de transmitir la información de sus contactos?
– Ha incorporado en sus dispositivos la capacidad de desactivar en un solo lugar la transmisión de información de ubicación por completo o aplicación por aplicación. Explique por qué no ha hecho lo mismo con la información de la libreta de direcciones.
Proporcione la información solicitada a más tardar el 29 de febrero de 2012. Si tiene alguna pregunta con respecto a esta solicitud, puede comunicarse con Felipe Mendoza con el personal del Comité de Energía y Comercio al 202-226-3400.
Atentamente,
Henry A. Waxman, miembro de alto rango
GK Butterfield, miembro de mayor rango
Subcomité de Comercio, Manufactura y Comercio
