Index

Recopilación de registros de fallos de usuarios sin consentimiento

Risk: medium

Descripción

La vulnerabilidad existe en la política de privacidad de la aplicación, ya que no menciona la recopilación de registros de fallos (crash logs) de los usuarios, a pesar de que este tipo de datos se declara en la sección Seguridad de los datos de Play (Play Data Safety Section), lo que podría poner en riesgo la privacidad de los usuarios.

Recomendación

Para mitigar la vulnerabilidad de recopilar los registros de fallos de los usuarios, asegúrese de que su política de privacidad establezca claramente el propósito de recopilar estos datos, cómo se utilizarán y cómo estarán protegidos. Además, ofrezca a los usuarios la opción de no compartir los registros de fallos si no se sienten cómodos con esta recopilación de datos. Revise y actualice periódicamente su política de privacidad para cumplir con las normativas de protección de datos y mantener la transparencia con sus usuarios.

Enlaces

• Android Privacy Guidelines
• Privacy Policies for Mobile Apps
• Apple Privacy Manifest
• CWE-359: Exposure of Private Information ("Privacy Violation")

Estándares

• OWASP_MASVS_L1:
• OWASP_MASVS_L2:
• OWASP_MASVS_RESILIENCE:
• CWE_TOP_25:
• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_9
  • ART_11
  • ART_13
  • ART_15
  • ART_16
  • ART_17
  • ART_32
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_105
  • CCPA_1798_110
  • CCPA_1798_115
  • CCPA_1798_120
  • CCPA_1798_125
  • CCPA_1798_130
  • CCPA_1798_135
  • CCPA_1798_140
  • CCPA_1798_150
• PCI_STANDARDS:
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
  • MASVS_PRIVACY_3
  • MASVS_PRIVACY_4
• OWASP_ASVS_L1:
• OWASP_ASVS_L2:
• OWASP_ASVS_L3:
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
• CNIL_FOR_EDITORS:
  • EDITORS_1_1_1
  • EDITORS_3_1_1
• HIPAA_CONTROLS:
  • PRIVACY114
  • PRIVACY121