保護DataHogo
Enciclopedia de Seguridad/OWASP Mobile Top 10
mediumCWE-359M6:2024

Controles de Privacidad Inadecuados

La app móvil recolecta, almacena o transmite información personal (PII) sin consentimiento adecuado, encriptación o prácticas de minimización de datos.

Cómo Funciona

Las apps móviles tienen acceso a datos sensibles del dispositivo: contactos, ubicación, fotos, cámara y micrófono. Controles de privacidad inadecuados incluyen recolectar más datos de los necesarios, no encriptar PII en reposo, compartir datos con SDKs de terceros sin divulgación, no tener política de privacidad o no ofrecer opciones de eliminación de datos. Las revisiones de app stores cada vez más exigen requisitos de privacidad, y las violaciones de GDPR/CCPA tienen multas fuertes.

Código Vulnerable
// Collecting unnecessary data
const userData = {
  email: user.email,
  phone: user.phone,
  location: await getLocation(),
  contacts: await getContacts(),
  deviceId: getUniqueId()
};
Código Seguro
// Collecting only what's needed
const userData = {
  email: user.email  // Only collect what the feature requires
};
// Location only when user explicitly triggers it
// No contacts collection unless core feature

Ejemplo Real

En 2022, Google multó a Meta con $400 millones por violaciones de GDPR relacionadas con cómo Instagram recolectaba y procesaba datos de menores. La app exponía emails y teléfonos de menores a través de la función de cuenta de negocios.

Cómo Prevenirlo

  • Solo recolecta datos estrictamente necesarios para la funcionalidad
  • Encripta todo PII en reposo y en tránsito
  • Proporciona política de privacidad clara y opciones de eliminación
  • Audita SDKs de terceros por sus prácticas de recolección

Tecnologías Afectadas

MobileReact NativeFlutter

Data Hogo detecta esta vulnerabilidad automáticamente.

Escanea Tu Repo Gratis

Vulnerabilidades Relacionadas

Uso Incorrecto de Credenciales

critical

API keys, passwords o tokens hardcodeados directamente en el código fuente de la app móvil — fácilmente extraíbles al decompilar el bundle.

CWE-798M1:2024

Seguridad de Cadena de Suministro Móvil

medium

SDKs vulnerables, librerías nativas desactualizadas o módulos de terceros comprometidos introducen riesgos de seguridad desde tus dependencias.

CWE-1395M2:2024

Autenticación/Autorización Insegura

high

Apps móviles con autenticación débil — guardando sesiones de forma insegura, sin refresh de tokens o checks de autorización solo en el cliente.

CWE-287M3:2024

Validación Insuficiente de Input/Output

medium

Apps móviles que no validan input de usuario o sanitizan output son vulnerables a ataques de inyección, corrupción de datos y comportamiento inesperado.

CWE-20M4:2024