Portada
mis comunidades
otras secciones
Buenas, soy el autor del artículo y del blog en general, me gustaría responder a algunas cuestiones que se han planteado en los comentarios.
De modo genérico decir que el tema de los 30 minutos ya lo he corregido, efectivamente lo había interpretado mal, no envía datos cada 30 minutos pero si que recopila la ubicación del usuario cada 30 minutos, igualmente creo que lo importante no es cada cuanto tiempo lo manda si no que la decisión sobre cuándo manda los datos la aplicación no lo decide La Liga, si fuera así lo controlarían desde su servidor, igual que es ahí donde almacenan la nota legal que muestran al usuario, y no en el de una empresa que vive de analizar datos y que por ende cuantos más datos más beneficio. No acuso a nadie de nada, simplemente me parece algo curioso.
#8 Totalmente de acuerdo
#9 Sobre lo de la AEPD, realmente esto lo hacen con la autorización del usuario... en la versión 6.4.7 así que no tengo ni idea de si tiene algún tipo de pega a nivel legal. Remarco lo de esta versión porque mirando anteriores versiones, en la 6.4.5 ya se enviaban datos a Fluzo y en este caso no existía esa nota legal, por tanto han recopilado datos de los usuarios sin su consentimiento.
#66 Varias cosas:
Lo de la API mmmmm, depende, yo si fuera desarrollador en este caso no la 'hardcodearia', es un servicio privado que está manejando datos sensibles, piensa que si alguien conoce el endpoint adecuado y existe la posibilidad podría bajarse todos los audios de los usuarios, o las estadísticas que genere fluzo en base a estos, perfiles de usuarios, datos etc; evidentemente la documentación de la API de fluzo no es pública y es imposible saber que impacto tiene dejarla expuesta, pero que los propios devs de Fluzo no la pongan a pelo en el código de su SDK me hace sospechar.
Lo de la funcion decrypt() no es una suposición, los desarrolladores de fluzo han cifrado una serie de Strings por el motivo que sea y es asi como las descifran, lo cual no quita que no sea algo trivial de revertir y que para eso mejor no hacer nada, pero meh, peor para ellos.
#53 Primera linea un insulto y un fail. Si tuvieras un mínimo de comprensión lectora verías que no he usado dex2jar, genio.
Sobre lo de las opiniones, a mi La Liga no me ha pagado por analizar su aplicación, no es un informe que tenga que entregar a un cliente, a lo mejor estoy equivocado pero en mi blog podré hacer las apreciaciones subjetivas que me parezcan oportunas. Igualmente todas las conclusiones estan fundamentadas en el análisis del código de la aplicación, si tienes alguna evidencia objetiva que demuestre que mi análisis este equivocado en algún punto exponlo.
#57 El tema es que La Liga de a entender que el procesado se hace de forma local, cuando en realidad lo hace una empresa externa. Esto no sería un problema si informasen correctamente a los usuarios, al final el usuario es completamente libre de usar o no una aplicación.
#85 Te animo a que respaldes tu argumento con líneas del código, porque yo no he visto ninguna evidencia de lo que comentas, más bien todo lo contrario. Te pongo exactamente el código con el que suben el audio al servidor de fluzo:
Test de conexion: https://i.gyazo.com/cd9925b936481535be08627f0b0a1185.png
Peticion real: https://i.gyazo.com/49de6b22b31d0b1216ac8d2ac3ce3e46.png
#10 Pues buena pregunta, han violado claramente las politicas para desarrolladores de Google Play ya que en el changelog de la v6.4.7 dicen que la ubicación se usará para decir a los usuarios como llegar al estadio, función que ya estaba disponible en versiones anteriores pero con la que intentan justificar y enmascarar su verdadero fin, un fraude de libro que evidentemente no entra dentro de lo que Google Play considera "legal" https://play.google.com/intl/es_ALL/about/privacy-security-deception/user-data/ habrá que ver si Google dice algo al respecto o se pone de perfil, me imagino que si no reciben un número lo suficientemente elevado de reclamaciones se mantendrán al margen.
#101 No lo he mirado, pero según el comunicado de La Liga es algo que sólo pasa en Android, aunque visto lo visto a saber.
#104 Efectivamente, lo de detectar el fraude es lo que menos debería importar a los usuarios, lo realmente preocupante debria ser que hacen con los datos que recopilan por que tienen informacion de sobra para construir perfiles sobre los usuarios como bien indicas. En estos casos sólo queda confiar en la buena fe de la empresa de análisis, que analicen para detectar fraude y no hagan nada más, desafortunadamente este tipo de empresas viven del comercio de datos, así que cada uno que saque sus propias conclusiones.
Peticion real: https://i.gyazo.com/49de6b22b31d0b1216ac8d2ac3ce3e46.png
#10 Pues buena pregunta, han violado claramente las politicas para desarrolladores de Google Play ya que en el changelog de la v6.4.7 dicen que la ubicación se usará para decir a los usuarios como llegar al estadio, función que ya estaba disponible en versiones anteriores pero con la que intentan justificar y enmascarar su verdadero fin, un fraude de libro que evidentemente no entra dentro de lo que Google Play considera "legal" https://play.google.com/intl/es_ALL/about/privacy-security-deception/user-data/
Buenas, soy el autor del artículo y del blog en general, me gustaría responder a algunas cuestiones que se han planteado en los comentarios.
De modo genérico decir que el tema de los 30 minutos ya lo he corregido, efectivamente lo había interpretado mal, no envía datos cada 30 minutos pero si que recopila la ubicación del usuario cada 30 minutos, igualmente creo que lo importante no es cada cuanto tiempo lo manda si no que la decisión sobre cuándo manda los datos la aplicación no lo decide La Liga, si fuera así lo controlarían desde su servidor, igual que es ahí donde almacenan la nota legal que muestran al usuario, y no en el de una empresa que vive de analizar datos y que por ende cuantos más datos más beneficio. No acuso a nadie de nada, simplemente me parece algo curioso.
#8 Totalmente de acuerdo
#9 Sobre lo de la AEPD, realmente esto lo hacen con la autorización del usuario... en la versión 6.4.7 así que no tengo ni idea de si tiene algún tipo de pega a nivel legal. Remarco lo de esta versión porque mirando anteriores versiones, en la 6.4.5 ya se enviaban datos a Fluzo y en este caso no existía esa nota legal, por tanto han recopilado datos de los usuarios sin su consentimiento.
#66 Varias cosas:
Lo de la API mmmmm, depende, yo si fuera desarrollador en este caso no la 'hardcodearia', es un servicio privado que está manejando datos sensibles, piensa que si alguien conoce el endpoint adecuado y existe la posibilidad podría bajarse todos los audios de los usuarios, o las estadísticas que genere fluzo en base a estos, perfiles de usuarios, datos etc; evidentemente la documentación de la API de fluzo no es pública y es imposible saber que impacto tiene dejarla expuesta, pero que los propios devs de Fluzo no la pongan a pelo en el código de su SDK me hace sospechar.
Lo de la funcion decrypt() no es una suposición, los desarrolladores de fluzo han cifrado una serie de Strings por el motivo que sea y es asi como las descifran, lo cual no quita que no sea algo trivial de revertir y que para eso mejor no hacer nada, pero meh, peor para ellos.
#53 Primera linea un insulto y un fail. Si tuvieras un mínimo de comprensión lectora verías que no he usado dex2jar, genio.
Sobre lo de las opiniones, a mi La Liga no me ha pagado por analizar su aplicación, no es un informe que tenga que entregar a un cliente, a lo mejor estoy equivocado pero en mi blog podré hacer las apreciaciones subjetivas que me parezcan oportunas. Igualmente todas las conclusiones estan fundamentadas en el análisis del código de la aplicación, si tienes alguna evidencia objetiva que demuestre que mi análisis este equivocado en algún punto exponlo.
#57 El tema es que La Liga de a entender que el procesado se hace de forma local, cuando en realidad lo hace una empresa externa. Esto no sería un problema si informasen correctamente a los usuarios, al final el usuario es completamente libre de usar o no una aplicación.
#85 Te animo a que respaldes tu argumento con líneas del código, porque yo no he visto ninguna evidencia de lo que comentas, más bien todo lo contrario. Te pongo exactamente el código con el que suben el audio al servidor de fluzo:
Test de conexion: https://i.gyazo.com/cd9925b936481535be08627f0b0a1185.png
Peticion real: https://i.gyazo.com/49de6b22b31d0b1216ac8d2ac3ce3e46.png
#10 Pues buena pregunta, han violado claramente las politicas para desarrolladores de Google Play ya que en el changelog de la v6.4.7 dicen que la ubicación se usará para decir a los usuarios como llegar al estadio, función que ya estaba disponible en versiones anteriores pero con la que intentan justificar y enmascarar su verdadero fin, un fraude de libro que evidentemente no entra dentro de lo que Google Play considera "legal" https://play.google.com/intl/es_ALL/about/privacy-security-deception/user-data/ habrá que ver si Google dice algo al respecto o se pone de perfil, me imagino que si no reciben un número lo suficientemente elevado de reclamaciones se mantendrán al margen.
#101 No lo he mirado, pero según el comunicado de La Liga es algo que sólo pasa en Android, aunque visto lo visto a saber.
#104 Efectivamente, lo de detectar el fraude es lo que menos debería importar a los usuarios, lo realmente preocupante debria ser que hacen con los datos que recopilan por que tienen informacion de sobra para construir perfiles sobre los usuarios como bien indicas. En estos casos sólo queda confiar en la buena fe de la empresa de análisis, que analicen para detectar fraude y no hagan nada más, desafortunadamente este tipo de empresas viven del comercio de datos, así que cada uno que saque sus propias conclusiones.
Peticion real: https://i.gyazo.com/49de6b22b31d0b1216ac8d2ac3ce3e46.png
#10 Pues buena pregunta, han violado claramente las politicas para desarrolladores de Google Play ya que en el changelog de la v6.4.7 dicen que la ubicación se usará para decir a los usuarios como llegar al estadio, función que ya estaba disponible en versiones anteriores pero con la que intentan justificar y enmascarar su verdadero fin, un fraude de libro que evidentemente no entra dentro de lo que Google Play considera "legal" https://play.google.com/intl/es_ALL/about/privacy-security-deception/user-data/