Donald Trump y Barack Obama embellecidos por Meitu.

Este artículo fue escrito por Catherine Lai y originalmente publicado por Hong Kong Free Press el 22 de enero del 2017. Esta versión se publica como parte de un acuerdo de asociación.

En todo el mundo, de la noche a la mañana, la aplicación de edición de imágenes china, Meitu, ha hecho temer por la privacidad después de que se comprendiera la inusual serie de permisos de los que requiere para su instalación.

La aplicación móvil gratuíta, popular en China durante años, se lanzó en el 2008, pero tan solo recientemente comenzó a tener éxito en occidente, cuando la gente empezó a usarla para compartir imágenes transformadas al estilo anime. La compañía está abierta a la inversión y compra de acciones en Hong Kong desde diciembre.

El experto en ciberseguridad Leo Weese, le dijo a Hong Kong Free Press que los usuarios deberían tener cuidado con los permisos que conceden cuando instalan aplicaciones:

On iOS and on newer Android versions you can manually choose what is allowed and what not, because the app is – by default – asking for a lot more than it should.

En iOS y en las más nuevas versiones de Android puedes escoger manualmente qué está permitido y qué no, porque la aplicación –por defecto– pide mucho más de lo que debería.

Según la página de la aplicación en Google Play, puede acceder a la localización del usuario, el número de teléfono, la información de llamada, la información de la compañía telefónica, las conexiones WI-Fi, la información acerca de qué otras aplicaciones están activas, puede cambiar los ajustes de audio, y más.

El experto Jonathan Zdziarski también vio que en la versión iOS examina si el dispositivo está jailbroken, lo que significa que puede detectar si el usuario ha sobrepasado las restricciones de software impuestas por el sistema de Apple.

Welp, Meitu definitely has a number of different checks to see if your iPhone is jailbroken… pic.twitter.com/XSbKqDKgqX

— Jonathan Zdziarski (@JZdziarski) January 19, 2017

Bueno, definitivamente, Meitu tiene varias formas de comprobar si tu iPhone está jailbroken.

Weese dijo:

It’s reasonable to assume that the app would want access to your camera and want access to your storage, but it’s not reasonable why it would want to make phone calls or change your audio settings or why it would want to access the storage of other apps or even know what cellphone carrier you use.

Es razonable asumir que la aplicación querría acceso a tu cámara y almacenaje, pero no por qué querría hacer llamadas de teléfono o cambiar los ajustes de audio, o acceder al almacenaje de otras aplicaciones o saber siquiera con qué compañía telefónica estás.

Otro punto de preocupación es que la aplicación puede estar transmitiendo el IMEI –el número único que identifica individualmente a los dispositivos– de los dispositivos a servidores en China, según el autoproclamado pesimista de la seguridad “Four Octets.” Una búsqueda en Whois por la localización de los servidores, publicada por Four Octets, descubrió que uno estaba asignado a la compañía publicitaria Hangzhou Alibaba, y las otras dos a Forest Eternal Communication Tech, una compañía de servicios de datos de Pekín.

Just to let you guys know that photo app that makes you look an anime is sending you IMIE to several servers in China. https://t.co/dQdroq5qhA

— FourOctets (@FourOctets) January 19, 2017

Para que lo sepan, esa aplicación que te hace parecer un anime está enviando tu IMIE a varios servidores en China.

Una portavoz de Meitu le dijo a Hong Kong Free Press que la aplicación recopila información sobre los móviles de los usuarios en lugar de la información personal de los usuarios, asegurando que la compañía quiere «optimizar su experiencia de usuario» –por ejemplo, para saber de qué tamaño es la pantalla del móvil–, dijo la portavoz. Añadió que la aplicación recopila información acerca de la localización del usuario para poder indicarles anuncios apropiados, y las direcciones IP en caso de que sus competidores hackeen la aplicación. Enfatizó:

We don’t sell the information to anyone else.

No vendemos la información a nadie más.

Un comunicado de prensa hizo incapié en que:

Meitu DOES NOT share any user information with the Chinese government. User data is sent ONLY to Meitu.

Meitu NO comparte información de ningún usuario con el gobierno chino. Los datos de usuario se envían SOLO a Meitu.

Matthew Garrett, desarrollador de seguridad en Linux, escribió que la mayoría de aplicaciones requieren del IMEI del dispositivo. Puso en su blog:

It’s certainly something to be concerned about, but Meitu isn’t especially rare here – there are big-name apps that do exactly the same thing… Let’s turn this into a conversation about user privacy online rather than blaming one specific example.

Ciertamente, es algo por lo que preocuparse, pero Meitu no es un caso particularmente raro en esto –hay aplicaciones de gran renombre que hacen exactamente lo mismo…–. Convirtamos esto en una conversación sobre la privacidad de los usuarios online en lugar de culpar a un ejemplo en concreto.

Weese también comentó que los usuarios no deberían estar excesivamente preocupados con eso de que la aplicación está siendo usada por el gobierno chino para entrar en los móviles de los usuarios. La recopilación de datos es una práctica muy común, dijo:

I think it’s just a very shady business practice to try to gather as much data as you can without asking for permission, without asking for consent, and this has become a lot more common business practice, especially in places like China.

Creo que es un asunto muy turbio el de tratar de recopilar cuántos más datos sea posible sin pedir permiso, sin consentimiento, y esto se ha convertido en algo mucho más común en los negocios, especialmente en lugares como China.