7 em 10 Smartphone Apps compartilham seus dados com serviços de terceiros
Fotos de smartphones são georreferenciadas mesmo quando o usuário não está ciente. Os usuários de smartphones podem ajustar suas configurações de privacidade para limitar quem pode visualizar seus locais com geo-tag. (Crédito da foto: US Army Graphic)

Nossos telefones celulares podem revelam muito sobre nós mesmos: onde moramos e trabalhamos; quem são nossos familiares, amigos e conhecidos; como (e até mesmo o que) nos comunicamos com eles; e nossos hábitos pessoais. Com todas as informações armazenadas neles, não é surpreendente que os usuários de dispositivos móveis tomem medidas para proteger sua privacidade, como usando PINs ou senhas para desbloquear seus telefones.

A pesquisa que nós e nossos colegas estamos fazendo identifica e explora uma ameaça significativa que a maioria das pessoas sente falta: Mais do que 70 por cento of aplicativos de smartphones estão relatando dados pessoais para empresas de rastreamento de terceiros como o Google Analytics, a API de gráficos do Facebook ou o Crashlytics.

Quando as pessoas instalam um novo aplicativo para Android ou iOS, ele solicita a permissão do usuário antes de acessar informações pessoais. De um modo geral, isso é positivo. E algumas das informações que esses aplicativos coletam são necessárias para que funcionem corretamente: um aplicativo de mapa não seria tão útil se não pudesse usar dados de GPS para obter um local.

No entanto, assim que um aplicativo tiver permissão para coletar essas informações, ele poderá compartilhar seus dados com qualquer pessoa que o desenvolvedor do aplicativo queira, permitindo que empresas de terceiros acompanhem onde você está, com que rapidez você está se movendo e o que está fazendo.

A ajuda e perigo de bibliotecas de código

Um aplicativo não coleta apenas dados para usar no próprio telefone. Aplicativos de mapeamento, por exemplo, enviam sua localização para um servidor executado pelo desenvolvedor do aplicativo para calcular rotas de onde você está até o destino desejado.

innerself assinar gráfico

O aplicativo também pode enviar dados para outros lugares. Assim como em websites, muitos aplicativos móveis são escritos combinando várias funções, pré-codificadas por outros desenvolvedores e empresas, nas chamadas bibliotecas de terceiros. Essas bibliotecas ajudam os desenvolvedores acompanhar o envolvimento do usuário, conectar-se com a mídia social e ganhar dinheiro exibindo anúncios e outros recursos, sem precisar escrevê-los do zero.

No entanto, além de sua valiosa ajuda, a maioria das bibliotecas também coleta dados confidenciais e os envia para seus servidores on-line - ou para outra empresa. Os autores de bibliotecas bem-sucedidos podem desenvolver perfis digitais detalhados de usuários. Por exemplo, uma pessoa pode conceder uma permissão de aplicativo para saber sua localização e outro acesso a seus contatos. Essas são permissões inicialmente separadas, uma para cada aplicativo. Mas se os dois aplicativos usassem a mesma biblioteca de terceiros e compartilhassem partes diferentes de informações, o desenvolvedor da biblioteca poderia vincular as partes.

Os usuários nunca saberiam, porque os aplicativos não precisam informar aos usuários quais bibliotecas de software eles usam. E apenas poucos aplicativos divulgam suas políticas de privacidade do usuário; se o fizerem, geralmente é em documentos legais longos uma pessoa normal não vai ler, muito menos entender.

Lúmen em desenvolvimento

Nossa pesquisa procura revelar quantos dados estão potencialmente sendo coletados sem o conhecimento dos usuários e dar aos usuários mais controle sobre seus dados. Para obter uma imagem do que os dados estão sendo coletados e transmitidos pelos smartphones das pessoas, desenvolvemos um aplicativo Android grátis, chamado Lumen Privacy Monitor. Ele analisa os aplicativos de tráfego enviados, para relatar quais aplicativos e serviços on-line coletam ativamente dados pessoais.

Como o Lumen é sobre transparência, um usuário de telefone pode ver as informações que os aplicativos instalados coletam em tempo real e com quem eles compartilham esses dados. Tentamos mostrar os detalhes do comportamento oculto dos aplicativos de maneira fácil de entender. É sobre pesquisa também, então perguntamos aos usuários se eles nos permitirão coletar alguns dados sobre o que a Lumen observa que seus aplicativos estão fazendo - mas isso não inclui nenhum dado pessoal ou sensível à privacidade. Esse acesso exclusivo a dados nos permite estudar como os aplicativos móveis coletam dados pessoais dos usuários e com quem eles compartilham dados em uma escala sem precedentes.

Em particular, a Lumen acompanha quais apps estão sendo executados nos dispositivos dos usuários, se estão enviando dados confidenciais para fora do telefone, para quais sites da Internet eles enviam dados, o protocolo de rede usado e os tipos de informações pessoais de cada aplicativo envia para cada site. O Lumen analisa o tráfego de aplicativos localmente no dispositivo e anonimiza esses dados antes de enviá-los para estudo: se o Google Maps registra a localização GPS de um usuário e envia esse endereço específico para maps.google.com, Lumen nos diz: “o Google Maps recebeu Localização GPS e enviou para maps.google.com ”- não onde essa pessoa realmente está.

Rastreadores estão em toda parte

Mais de 1,600 pessoas que usam Lumen desde outubro 2015 nos permitiram analisar mais de 5,000 aplicativos. Descobrimos que os sites 598 provavelmente rastreiam os usuários para fins publicitários, incluindo serviços de mídia social como o Facebook, grandes empresas de internet como Google e Yahoo, e empresas de marketing online sob a égide de provedores de serviços de Internet como a Verizon Wireless.

Nós achamos isso mais de 70 por cento dos aplicativos que estudamos conectado a pelo menos um rastreador, e 15 por cento deles conectados a cinco ou mais rastreadores. Um em cada quatro rastreadores coletou pelo menos um identificador exclusivo de dispositivo, como o número do telefone ou número IMEI de dígito 15 exclusivo específico do dispositivo. Os identificadores exclusivos são cruciais para os serviços de rastreamento on-line porque podem conectar diferentes tipos de dados pessoais fornecidos por aplicativos diferentes a uma única pessoa ou dispositivo. A maioria dos usuários, até mesmo os que gostam de privacidade, não tem conhecimento dessas práticas ocultas.

Mais do que apenas um problema móvel

Rastrear usuários em seus dispositivos móveis é apenas parte de um problema maior. Mais da metade dos rastreadores de aplicativos que identificamos também rastreiam usuários por meio de sites. Graças a essa técnica, chamada de rastreamento "em dispositivos diferentes", esses serviços podem criar um perfil muito mais completo de sua persona on-line.

E os sites de rastreamento individuais não são necessariamente independentes dos outros. Alguns deles são de propriedade da mesma entidade corporativa - e outros podem ser engolidos em futuras fusões. Por exemplo, o Alphabet, empresa controladora do Google, possui vários dos domínios de rastreamento que estudamos, incluindo o Google Analytics, DoubleClick ou AdMob e, por meio deles, coletam dados de mais de 48 por cento dos aplicativos que estudamos.

As identidades on-line dos usuários não estão protegidas pelas leis do país de origem. Encontramos dados sendo enviados através de fronteiras nacionais, muitas vezes terminando em países com leis de privacidade questionáveis. Mais de 60 por cento das conexões para sites de rastreamento são feitas para servidores nos EUA, Reino Unido, França, Cingapura, China e Coréia do Sul - seis países que implantaram tecnologias de vigilância em massa. Agências governamentais nesses locais poderiam ter acesso a esses dados, mesmo se os usuários países com leis de privacidade mais fortes como a Alemanha, a Suíça ou a Espanha.

Conectando o endereço MAC de um dispositivo a um endereço físico (pertencente ao ICSI) usando o Wigle.
Conectando o endereço MAC de um dispositivo a um endereço físico (pertencente ao ICSI) usando o Wigle. ICSI, CC BY-ND

Ainda mais preocupante, observamos rastreadores em aplicativos voltados para crianças. Ao testar os aplicativos para crianças 111 em nosso laboratório, observamos que o 11 deles vazou um identificador único, o Endereço MAC, do roteador Wi-Fi ao qual ele estava conectado. Isso é um problema, porque é fácil pesquisa online para locais físicos associados a endereços MAC específicos. Coletar informações privadas sobre crianças, incluindo sua localização, contas e outros identificadores exclusivos, potencialmente viola a Comissão Federal de Comércio. regras que protegem a privacidade das crianças.

Apenas um pequeno olhar

Embora nossos dados incluam muitos dos aplicativos Android mais populares, é uma pequena amostra de usuários e aplicativos e, portanto, provavelmente um pequeno conjunto de todos os rastreadores possíveis. Nossas descobertas podem estar apenas arranhando a superfície do que provavelmente será um problema muito maior que se estenda por jurisdições, dispositivos e plataformas de regulamentação.

É difícil saber o que os usuários podem fazer sobre isso. Bloquear informações confidenciais ao deixar o telefone pode prejudicar o desempenho do aplicativo ou a experiência do usuário: um aplicativo pode se recusar a funcionar se não conseguir carregar anúncios. Na verdade, bloquear anúncios prejudica os desenvolvedores de aplicativos ao negar a eles uma fonte de receita para dar suporte ao trabalho deles em aplicativos, que geralmente são gratuitos para os usuários.

Se as pessoas estivessem mais dispostas a pagar desenvolvedores por aplicativos, isso pode ajudar, embora não seja uma solução completa. Descobrimos que, embora os aplicativos pagos tendam a contatar menos sites de rastreamento, eles ainda rastreiam usuários e se conectam a serviços de rastreamento de terceiros.

A ConversaçãoTransparência, educação e estruturas regulatórias fortes são a chave. Os usuários precisam saber quais informações estão sendo coletadas, por quem e para que estão sendo usadas. Somente então poderemos, como sociedade, decidir quais proteções de privacidade são apropriadas e colocá-las em prática. Nossas descobertas, e as de muitos outros pesquisadores, podem ajudar a virar a mesa e rastrear os próprios rastreadores.

Sobre os Autores

Narseo Vallina-Rodriguez, professor assistente de pesquisa do Instituto de Redes IMDEA, Madri, Espanha; Pesquisador Cientista, Rede e Segurança, Instituto Internacional de Ciência da Computação, com sede em, Universidade da Califórnia, Berkeley e Srikanth Sundaresan, pesquisador em Ciência da Computação, Princeton University

Este artigo foi originalmente publicado em A Conversação. Leia o artigo original.

Livros relacionados:

at InnerSelf Market e Amazon