Video: Compensar mi saldo a favor de Impuesto a la renta contra otros tributos como IGV e ITAN, etc. (Noviembre 2024)
Algunas aplicaciones de impuestos y finanzas relacionadas para Android e iOS pueden estar recopilando y compartiendo datos de usuario innecesariamente. ¿Tienes alguna de estas aplicaciones en tu dispositivo móvil?
Appthority analizó varias aplicaciones de gestión financiera fiscal para dispositivos Android e iOS e identificó un puñado de comportamientos riesgosos, incluido el seguimiento de la ubicación del usuario, el acceso a la lista de contactos y el intercambio de datos del usuario con terceros, dijo Domingo Security, presidente y fundador de Appthority, a SecurityWatch.
Appthority encontró que muchas de las aplicaciones transmiten datos de usuario, como la ubicación, y la información de contactos extraída de la libreta de direcciones a redes publicitarias de terceros. La mayor parte de la comunicación con las redes publicitarias fue en texto claro. Si bien tenía sentido que la aplicación H&R Block tuviera acceso a la ubicación del usuario, dado que la aplicación permite a los usuarios encontrar la tienda más cercana, "no estaba muy claro por qué" las aplicaciones restantes necesitaban esa información.
"El resto simplemente comparte esa ubicación con las redes publicitarias", dijo Guerra.
La lista de aplicaciones incluía "aplicaciones de impuestos de renombre y algunos recién llegados más pequeños" como H&R Block TaxPrep 1040EZ y las aplicaciones completas de H&R Block, TaxCaster y My Tax Refund de Intuit (la compañía detrás de TurboTax), Income Tax Calculator 2012 de un desarrollador llamado SydneyITGuy y el Impuesto Federal 1040EZ de RazRon, dijo Guerra. Appthority realizó su análisis utilizando su propio servicio automatizado de gestión de riesgos de aplicaciones móviles.
Débil o sin cifrado
Las aplicaciones generalmente tenían un cifrado débil y optaron por proteger selectivamente parte del tráfico de datos, en lugar de cifrar todo el tráfico, encontró Appthority. Algunas de las aplicaciones (Guerra no especificó cuáles) utilizaron cifrados de cifrado predecibles en lugar de aprovechar aleatorizadores de cifrado. Las aplicaciones "sin nombre", como la de RazRon, no usaban cifrado en absoluto.
Una de las aplicaciones de renombre incluía rutas de archivos al código fuente en su información de depuración dentro del ejecutable. Las rutas de archivos a menudo incluyen nombres de usuario y otra información que podría usarse para dirigirse al desarrollador o la empresa de la aplicación, dijo Appthority. Nuevamente, Guerra no identificó la aplicación por su nombre.
Si bien "generalmente no es un riesgo importante filtrar esta información", "debe evitarse si es posible", dijo Guerra.
Exponer datos
Algunas de las aplicaciones ofrecían una función en la que el usuario podía tomar una foto del W2, y la imagen se guardaba en el "carrete de la cámara" del dispositivo, encontró Appthority. Esto podría ser un problema grave para los usuarios que cargan o sincronizan automáticamente con servicios en la nube como iCloud o Google+, ya que esa imagen se guarda en ubicaciones inseguras y se expone potencialmente.
Tanto las versiones de iOS y Android de la aplicación H&R Block 1040EZ utilizan redes publicitarias como AdMob, JumpTab y TapJoyAds, pero la versión completa de la aplicación H&R Block no muestra anuncios, señaló Appthority.
iOS vs Android
No hubo muchas diferencias en los tipos de comportamientos riesgosos entre las versiones de iOS y Android de la misma aplicación, dijo Guerra. La mayoría de las diferencias se redujeron a cómo el sistema operativo maneja los permisos. Android requiere que la aplicación muestre todos los permisos antes de que el usuario pueda instalar y ejecutar la aplicación con un enfoque de todo o nada. En contraste, iOS pide permiso a medida que surge la situación. Por ejemplo, la aplicación iOS no tendrá acceso a la ubicación del usuario hasta que este intente usar la función de localización de tiendas.
Según las últimas reglas, iOS 6 prohíbe a los desarrolladores de aplicaciones rastrear a los usuarios en función de su ID de dispositivo y números UDID o EMEI. Esta práctica sigue siendo común entre las aplicaciones de Android. La versión de iOS de la aplicación H&R Block 1040EZ no rastrea al usuario, pero la versión de Android de la misma aplicación lo hace al recopilar la identificación del dispositivo móvil, la construcción de la plataforma móvil y la información de la versión, y la identificación del suscriptor del dispositivo móvil, dijo Guerra.
La aplicación completa H&R Block en solicitudes de Android puede acceder a una lista de todas las demás aplicaciones instaladas en el dispositivo. La versión iOS de la aplicación no tiene acceso a esta información porque el sistema operativo no lo permite.
¿Arriesgado o no?
No hay nada específicamente riesgoso en este momento, estas aplicaciones no transmiten contraseñas y registros financieros en texto claro. Sin embargo, el hecho es que las aplicaciones comparten datos de usuario innecesariamente. Con la excepción de una aplicación, ninguna de las otras aplicaciones ofrecía una función de localización de tiendas. ¿Por qué, entonces, estas otras aplicaciones necesitaban acceso a la ubicación del usuario? ¿Por qué estas aplicaciones necesitaban acceso a los contactos del usuario? Eso no parece necesario para preparar los impuestos.
Appthority examinó algunas aplicaciones antiguas "para probar un punto", dijo Geurra. Muchas de estas aplicaciones tienen una fecha de vencimiento, como las aplicaciones de impuestos de 2012, donde se espera que los usuarios ya no la usen después de que hayan terminado de usarla.
Estas "aplicaciones desechables" rara vez se retiran del mercado, y los usuarios deben tener en cuenta que estas aplicaciones tienen acceso a los datos de los dispositivos del usuario.
