Chegou a hora de declarar a derrota da privacidade nos smartphones?

Por
29/11/17, 12h16 4 min 11 comentários

Pesquisadores da organização de pesquisas francesa Exodus Privacy e do Privacy Lab da Universidade de Yale divulgaram o resultado de uma análise de rastreadores (“trackers”) em aplicativos Android. Eles descobriram que 75% dos apps, ou três de cada quatro analisados, contem pelo menos um software do tipo embutido.

A análise, que identificou 44 rastreadores, foi feita a partir das “assinaturas digitais” deles, uma técnica similar à que antivírus usam para detectar vírus. Isso foi necessário porque, segundo os pesquisadores do Privacy Lab, “rastreadores e os apps Android que os empacotam são como ‘caixas pretas’ parciais”, ou seja, tornam difíceis auditorias e análises independentes.

(Apps para iOS não foram analisados, mas como muitos da pesquisa estão disponíveis também nesse sistema e os rastreadores costumam ser oferecidos em SDKs multiplataforma, é seguro assumir que boa parte também opera em apps para iPhone e iPad.)

No relatório, publicado em um site especial, consta uma amostragem de 25 dos 44 rastreadores e de quase 500 apps analisados. A lista dos apps denuncia que alguns muito populares, como Tinder, Spotify e Uber, carregam rastreadores de terceiros.

Os do Match Group (Tinder e OkCupid), juntamente com o do Weather Channel (previsão do tempo) e um chamado Super-Bright LED Flashlight (lanterna) foram os que apresentaram mais rastreadores — entre seis e sete cada. E até apps insuspeitos, como o navegador web Firefox1, da fundação Mozilla, e o app de aprendizado de idiomas Duolingo, foram flagrados empregando esse tipo de software.

Print da tela de análise do app Tinder na plataforma Exodus.
Tinder: seis rastreadores e 19 permissões. Imagem: Exodus/Reprodução.

Os dois rastreadores mais comuns (veja o ranking dos 25 e a lista dos 44) são o CrashLytics e o DoubleClick, ambos do Google. O primeiro ajuda o desenvolvedor a identificar travamentos e comportamentos inesperados no app, mas não se limita a isso. Ele consegue, nas palavras do próprio site oficial da ferramenta, “obter informações dos seus usuários, o que eles estão fazendo e injetar conteúdo social para agradá-los”. O segundo é o sistema de anúncios programáticos do Google, fonte de renda para muitos apps móveis.

De acordo com o anúncio à imprensa do Privacy Lab, “esses rastreadores variam em seus recursos e finalidade, mas são primordialmente usados para publicidade direcionada, análises comportamentais e rastreamento da localização [dos usuários]”. E como a inclusão de um rastreador é simples, as garantias de que os considerados limpos continuarão assim são frágeis.

Ante essas revelações, a esperança de se ter o mínimo de privacidade no uso do smartphone enfraquece bastante. Talvez já seja o caso de se considerar isso uma utopia. Mesmo as defesas mais robustas no nível do sistema operacional, como o esquema de permissões para apps que Android e iOS oferecem, são incapazes de barrar técnicas que se aproveitam de recursos inerentes do dispositivo para gerarem perfis e coletar dados.

Essa situação é exemplificada com o caso da FidZup, uma empresa francesa que desenvolve um rastreador de localização destinado a lojas físicas. Ela havia desenvolvido emissores sônicos que se comunicavam por barulhos inaudíveis ao ouvido humano com smartphones que tivessem apps compatíveis, caso do Bottin Gourmand, um guia de restaurantes e hotéis franceses. Ao Guardian, representantes da FidZup disseram ter cessado a prática apenas porque sinais Wi-Fi fazem o mesmo trabalho de maneira mais simples.

Essa técnica já é usada no Brasil por alguns grandes varejistas, como mostramos em reportagem recente na Gazeta do Povo.

Os pesquisadores do Privacy Lab concluem dizendo que “os usuários de Android e de todas as lojas de apps merecem uma cadeia confiávei de desenvolvimento, distribuição e instalação de software que não inclua código de terceiros mascarado” e convocam acadêmicos, defensores da privacidade e e pesquisadores de segurança a se juntarem na análise de apps proporcionada pelo Exodus — o código-fonte da ferramenta está disponível no GitHub.

Você pode navegar pelo diretório de apps analisados neste link.

  1. O Firefox Focus, versão do Firefox com mais recursos voltados à privacidade, não apresenta rastreadores.

Foto do topo: Courtney Clayton/Unsplash.

Compartilhe:
  • Maicon Bruisma

    O que não é novidade, visto que até mesmo o que nós conversamos é ouvido e processado. Privacidade somente no meio do mato e olhe lá

      • Matheus De Sena

        Semana passada eu tava conversando com uns amigos sobre o jogo War e lembrando da infância quando jogava. Eu estava com o meu smartphone na mão, mas sem usa-lo ou apps abertos. Até aí tudo bem. No dia seguinte apareceu um post patrocinado da Grow, na minha timeline do Facebook, e advinha do que era a propaganda: WAR!!! Apareceu sem eu ter feito pesquisa nenhuma, fui procurar nas permissões do app do Facebook Lite e a permissão do microfone estava desativada!!!
        Estou assustado até agora, sério mesmo.

        • Thiago Miranda

          Cumbucagate alert!

      • binho_0

        Acompanhei uma série de palestras sobre ‘Algoritmos e democracia’, no SESC, e o pessoal tá bem pessimista de um modo geral. Numa perspectiva mais ampla, o poder das empresas e dos governos em relação aos nosso uso da internet abre as portas pra todo tipo de devassa. Se ainda houver alguma chance de reversão (nem estou pensando em dialética), vai ser justamente aí: desligando esses aparelhos ou esperando uma produção toda voltada para privacidade como os aparelhos da Purism ( https://puri.sm/ ).

    • binho_0

      Sem drones por perto, de preferência.

  • Jeronimo Fagundes

    Na verdade, boa parte desses rastreadores serve realmente para ajudar os desenvolvedores, como já apontado na matéria. Todavia, a linha entre verificar o uso pra ajudar desenvolvedores, e capturar informações pra traçar perfis, é muito tênue. Nem consigo imaginar como seria tecnicamente viável permitir uma e proibir a outra, afinal, cada um decide o quanto de informação pessoal transmitida representa uma violação à sua privacidade. Não é um conceito determinístico.

    Ademais, são boas práticas: não ficar instalando qualquer aplicativo (somente os estritamente necessários), quando um aplicativo solicitar a permissão de acesso a algo, julgar se ele realmente precisa disso para executar aquilo que queremos dele, e usar criptografia em tudo quanto for possível (e que não perca/prejudique [tanto] a usabilidade).

    • Eu consigo imaginar como seria tecnicamente viável separar uma coisa da outra. Não seria o caso de se limitar à coleta de dados que tenham a ver com o crash ou o problema em questão?

      • Jeronimo Fagundes

        Sim, quando limitamos o universo à questão dos crashes.
        Agora, supondo que eu sou o desenvolvedor de um app, eu poderia usar o tracking de como o usuário interage com a interface do app para implementar melhorias de usabilidade. Entretanto, algum usuários podem achar que monitorar como eles interagem com a interface é invasão de privacidade. É nesse ponto que não vejo muito como poderíamos traçar uma linha divisória que agradasse a todos.

        [EDIT] Outra questão é: como a Apple/Google garantiria que o app não usa essas bibliotecas de tracking? Vejo só três alternativas: 1) Se eles tiverem acesso aos códigos-fonte de todos apps (impraticável) ou 2) Se verificarem essas assinaturas tal qual a pesquisa (mas pode dar falsos positivos eu imagino) ou 3) Se eles bloquearem, no nível do sistema operacional, todas as requisições aos hosts de trackers conhecidos (e ainda assim passariam trackers self-hosted pelos proprietários dos apps).
        Ainda, é lícito que eles bloqueiem essas transmissões de dados? Isso não é interferir na programação dos apps em si?

        Claro, o melhor seria os desenvolvedores de apps não serem intrometidos na vida alheia, ao contrário do que estão sendo.

  • Sem querer ser o chato que começa a briga entre empresas, existe alguma estatística do tipo para apps no iOS? Afinal de contas, é perfeitamente plausível que haja rastreadores nos apps de lá também, pelos mesmos motivos.