La app de mensajes de Facebook está monitoreando más de lo que crees

No debería ser una sorpresa que casi todas las aplicaciones de teléfonos móviles monitorean el comportamiento del usuario. Pero en el caso de Facebook y su app de mensajes para iOS, aparentemente la información que recopila es más de lo que se cree.

El investigador de seguridad y forense en iOS, Jonathan Zdziarski pasó la mañana del martes desarmando el código binario de Facebook Messenger, y  declaró vía Twitter que "Messenger parece tener más código spyware que el que he visto en productos desarrollados específicamente para la vigilancia empresarial".

En un email, Zdziarski dijo que Messenger está guardando prácticamente todo lo que el usuario hace en la app, desde el lugar donde haces tap, hasta cuanto tiempo el teléfono está orientado en modo portrait o landscape; incluso el tiempo que utilizas la aplicación versus el tiempo en que está corriendo de fondo.

Algunas de estas cosas son esperables de un desarrollador de apps, pero hay otras características encontradas por Zdziarski que preocupan y cuyo propósito está poco claro.

"(Facebook está) usando una especie de API privado que ni siquiera sé dónde está, pero se encuentra dentro del sandbox y permite sacar tu SSID de WiFi (lo que podría ser utilizado para averiguar a que redes WiFi estas conectado) e incluso están anotando la lista de procesos para obtener variada información del teléfono" escribió en un email.

En Twitter, Zdziarski dijo que ha trabajado para compañías que escriben software de espionaje y que él no sabía que este nivel de acceso era posible.

Le pregunté vía email a la investigadora independiente de seguridad, Ashkan Soltani, si quizás la relación de Facebook y Apple les puede haber dado acceso al API privado y así lograr acceso a capacidades privadas que otros desarrolladores no tienen. Recordemos que es posible activar tu cuenta de Facebook directamente en iOS. Soltani escribió que mi sospecha puede ser correcta.

Muchas líneas de código encontradas por Zdziarski en el binario tienen una frase sospechosa en el final: ["DO_NOT_USE_OR_YOU_WILL_BE_FIRED"] (no lo uses o serás despedido). El hacker de iPhones, Chpwn (también conocido como Grant Paul), quien ahora trabaja para Facebook, respondió vía Twitter que él es responsable de escribir esas líneas de código y tuiteó que "todo es una broma interna."

Como sea, no queda claro qué es lo que realmente hacen estas funciones, con tienen nombres como "globalProviderMapData" (data global del mapa de proveedores) e "isHeadPublisher", y por qué habrían de significar que te van a despedir, sea broma o no.

Zdiziarski advirtió vía mail que "investigar por unas pocas horas no va a terminar en conclusiones significativas… pero hay mucho código sugiriendo la posibilidad que Facebook está analizando casi todo lo que es posible analizar en tu teléfono."

Si bien Facebook declinó hacer comentarios oficiales, un vocero me señaló las respuestas de la desarrolladora Lucy Zhang, quien le dijo a Zdziarski vía Twitter que "probablemente no es sorpresa que utilicemos análisis para entender el uso y hacer la aplicación más rápida (y) eficiente."

La desarrolladora dio un ejemplo donde el análisis permitió a su equipo averiguar que los stickers se usaban muy seguido, "entonces movimos esa función para que la gente la pudiera utilizar con menos taps."

Si bien no es raro que los desarrolladores de apps utilicen muchos tipos de análisis sobre sus usuarios para medir como se está utilizando el producto, tampoco está muy claro para los usuarios cuanta información puede ser recaudada, asumiendo que se les ha dicho que se reunirán datos en primer lugar.

Incluso en casos donde las apps te dicen desde el comienzo qué permisos necesitan, como sucede con Facebook Messenger para Android, todavía falta claridad al explicar lo que estos permisos significan exactamente. Facebook tuvo una fuerte reacción en contra cuando  apareció su aplicación para Android en Agosto pasado. Los usuarios asumieron lo peor y cuestionaron el hecho que se les pidiera acceso a la cámara, el micrófono, los mensajes de texto y otras cosas.

Las razones resultaron ser bastante benignas, pero la preocupación debería servir como recordatorio que ya no es suficiente para una app pedir acceso a funciones del teléfono sin dar una explicación. Quizás es parte de la resaca que causaron las revelaciones de Edward Snowden y la NSA, pero desarrolladores como Facebook y dueños de tiendas de apps como Apple y Google, deberían hacer un mejor trabajo al explicar por qué se necesitan ciertas funciones y qué se hará con ellas.

"Al final todo se resume en si confías en que Facebook no tomará ventaja de su posición en tu teléfono y te espiará" escribió Zdiziarski. "Las capacidades técnicas para hacerlo están ahí."

ACTUALIZACIÓN: Despues de publicado este artículo, Facebook, que no quiso hacer comentarios, nos envió la siguiente respuesta:

"Estas acusaciones son injustificada. La privacidad es lo principal en Messenger, y como cualquier desarrollador analizamos las tendencias para hacer nuestras apps mejores, más rápidas y eficientes. Por ejemplo, cuando nos dimos cuenta que la gente hacía tap usando los stickers, modificamos la aplicación para que la gente pudiera hacerlo con menos movimientos."