7 jul. 2020

DuckDuckGo espia(ba) a sus usuarios de Android a través del favicon

DuckDuckGo es una de las mejores alternativas a Google. Este buscador estadounidense afirma ser más seguro que Google al no guardar información personal, ni tampoco compartirla con terceros. Tampoco utilizan tracking para mostrar anuncios personalizados ni rastrean la información navegando en incógnito. Sin embargo, acaban de pillar al buscador rastreando las visitas realizadas por el usuario.

Así lo ha descubierto el hacker ético @cowreth, que ha vuelto a analizar un fallo reportado en GitHub hace un año y al que se le restó importancia, y que afirmaba que las webs visitabas por el usuario acababan filtrándose a los servidores de DuckDuckGo.

El favicon de las webs que visitamos, recopilado por DuckDuckGo

El fallo consiste en que la aplicación de DuckDuckGo para Android recopila todos los dominios que el usuario visita. Cuando visitamos una web, la web llama a su propio servidor o comprueba la caché local del usuario del ordenador para descargar el favicon, mostrando en la pantalla del usuario cualquiera de las dos sea más reciente.

Sin embargo, en la app para Android, en lugar de solicitar el favicon a través de la web visitada o de la caché local del navegador, realiza una llamada a su propio servidor. Con ello, transfiere el historial de navegación del usuario a sus servidores sin que tenga permiso para ello. En julio del año pasado decían que este comportamiento era normal y que "confiásemos en ellos porque no recopilan ni comparten información personal, ya que está en su política de privacidad".

El problema es que nada de eso es un motivo convincente para almacenar los datos de las webs que visitan los usuarios en un servicio diferente a la caché local del navegador. Con los datos, la app puede organizar perfiles de usuarios basados en sus preferencias, y también pueden averiguar las direcciones IP desde las que se visitan esas páginas.

Su creador ha reconocido el fallo y promete arreglarlo

Tras la lluvia de críticas, el fundador y CEO de DuckDuckGo, Gabriel Weinberg, afirma que es la primera vez que tiene conocimiento de este fallo, y que van a solucionarlo de inmediato pasando a almacenar los favicons de manera local en el móvil. El cambio dice que lo aplicarán lo antes posible. El bug ya se ha solucionado.

Además, ha querido dejar claro que no han recopilado ninguna información personal en el proceso, que sus servicios están cifrados, y que cualquier información personal, como la dirección IP, queda desechada automáticamente siempre. No obstante, reconoce que lo más lógico es que esta información quede almacenada de manera local y que no llegue nunca a sus servidores, motivo por el cual van a realizar el cambio lo antes posible.

Es una pena que haya tenido que pasar un año y hayan tenido que acumularse quejas en medios y redes sociales para que hayan decidido implementar este cambio. DuckDuckGo es el buscador por defecto en navegadores como Tor Browser, y por ello la privacidad debe estar garantizada en todo momento.

Fuente: ADSLZone

1 comentario:

  1. Es que no se puede confiar por completo en nada ni en nadie y esto va más allá de esta nota y otras relacionadas con la materia y sin entrar en tecnicismos. Al final y por más odioso que pueda llegar a sonar "desconfía y acertaras"

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!