LEIPZIG, ALEMANHA – Se você saiu do Facebook ou nunca tenha ingressado por conta de suas práticas de coleta de dados, as chances são boas de que a rede social (ainda) esteja rastreando você – apesar do seu protesto.
O Facebook coleta dados de não usuários de sua rede social por meio de dezenas de aplicativos Android que enviam informações pessoais e de rastreamento de volta à rede social. Algumas das dezenas de aplicativos que compartilham dados com o Facebook incluem, mas não se limitam a: Kayak, Yelp e Shazam, de acordo com um relatório apresentado pela Privacy International no sábado, aqui no 35C3.
“O Facebook monitora rotineiramente usuários, não usuários e usuários desconectados de sua plataforma através do Facebook Business Tools”, segundo o relatório. “Desenvolvedores de apps compartilham dados com o Facebook através da SDK (Software Development Kit) do próprio Facebook.”
A Privacy International examinou 34 apps Android, cada um com uma base de instalação de 10 a 500 milhões, e descobriu ainda que eles transmitiam dados através da SDK para o Facebook. Os dados compartilhados com o Facebook variam por aplicativo. O aplicativo Kayak, por exemplo, envia ao Facebook todos os dados de busca realizados através de seu aplicativo, de acordo com os pesquisadores. Um aplicativo King James Bible compartilhou a passagem e o verso visualizado pelo usuário do aplicativo.
Pesquisadores disseram que a maioria dos aplicativos compartilha dados como, por exemplo: se o app é usado, quando é aberto e fechado, qual o dispositivo Android utilizado, a localização do usuário com base nas configurações de idioma e fuso horário, segundo os pesquisadores.
Parte dos dados confidenciais compartilhados com o Facebook é o uso do próprio app. A seguir, alguns exemplos de aplicativos que compartilham dados: apps rastreador de período menstrual, de oração, aplicativos de pesquisa de emprego, além de apps voltados para crianças. Outros dados encontrados compartilhados por aplicativos através da SDK do Facebook são chamados de “user ratings”, IDs de sessão e variáveis de dados adicionais.
O Facebook, de acordo com apontamento da Privacy International, é apenas uma das centenas de empresas que coletam dados que são usados por empresas de marketing online que selecionam informações de usuários para criar enormes dossiês digitais sobre os usuários. O Facebook é o segundo maior de tais empresas de rastreamento na internet depois do Google.
“A razão pela qual nos concentramos no Facebook, e não no Google ou em qualquer outra empresa de tracking, é porque o fato de aplicativos – como um rastreador de período menstrual ou uma lanterna LED [app] – compartilharem dados com o Facebook será uma surpresa para muitas pessoas. E, especialmente para aqueles que tomaram uma decisão consciente de não estar no Facebook”, disse Frederike Kaltheuner, pesquisador da Privacy International, durante sua palestra no sábado.
As principais conclusões da análise da Privacy Internationals sobre os 34 aplicativos incluem 61% dos apps testados transferem dados automaticamente para o Facebook no momento em que o usuário abre o aplicativo. Alguns aplicativos rotineiramente enviam dados para o Facebook que são incrivelmente detalhados e, às vezes, sensíveis de pessoas que estão desconectadas do Facebook ou que não têm uma conta no Facebook.
“Obviamente, nos concentramos apenas nos dados que os aplicativos transmitem. No entanto, o que não podemos dizer é, definitivamente, como os dados estão sendo usados”, disse Kaltheuner.
Christopher Weatherhead, pesquisador da Privacy International, disse que o foco de sua pesquisa não deve culpar os desenvolvedores de aplicativos. “Não estamos aqui para criticar os desenvolvedores pelo modo como eles criam seus aplicativos. Isso é tudo sobre a SDK e a maneira como ele transmite dados com ou sem o consentimento do usuário”, disse ele.
A SDK do Facebook para Android atende a muitos propósitos. Ela permite que os desenvolvedores de aplicativos integrem seus aplicativos à plataforma do Facebook. Ele também contém vários componentes úteis para desenvolvedores de aplicativos, como análise de usuários, a capacidade de exibir anúncios e permite que um usuário faça login em um serviço com o ID do Facebook.
Quando a Privacy International perguntou ao Facebook sobre o uso de sua SDK, a rede social apontou que os desenvolvedores eram responsáveis por configurar os aplicativos para compartilhar ou não os dados.
“O Facebook impõe uma obrigação legal e contratual ao desenvolvedor que ele vê como o controlador de dados para obter o consentimento que é exigido dos usuários antes de compartilhar dados com o Facebook pela SDK”, disse Kaltheuner.
Quando o Threatpost pediu comentários sobre este relatório, um porta-voz respondeu com uma declaração:
“A SDK do Facebook significa que os desenvolvedores podem escolher coletar eventos do aplicativo automaticamente, não coletá-los ou atrasar a coleta deles até que o consentimento seja obtido, dependendo de suas circunstâncias específicas. Também exigimos que os desenvolvedores garantam que tenham uma base legal apropriada para coletar e processar as informações dos usuários. Por fim, fornecemos orientações aos desenvolvedores sobre como cumprir nossos requisitos a esse respeito”.
Mas, o Facebook reconheceu à Privacy International que a maioria dos desenvolvedores usava as configurações padrões da SDK, que é compartilhar os dados no momento que um aplicativo é lançado. Esse comportamento gerou discussões entre os desenvolvedores a partir de maio, quando foram forçados a cumprir a nova lei do Regulamento Geral de Proteção de Dados (tradução de GDPR), que exige permissão explícita e inequívoca antes de coletar dados do usuário.
Em resposta, o Facebook lançou um novo recurso em sua SDK em junho que atrasa o que chama de “registro automático de eventos”, o que dá aos desenvolvedores mais flexibilidade para desativar o recurso ou solicitar permissão ao usuário para coletar dados. No entanto, mesmo com as alterações feitas pelo Facebook, a SDK continua enviando um sinal de que a SDK foi inicializada quando aplicativos individuais são abertos, mesmo se o compartilhamento de dados da SDK estiver desativado.
“O sinal de que a SDK foi inicializada são dados que dão ao [Facebook] uma forte indicação de que tipo de aplicativo alguém usa e quando o usam – tudo combinado com um ID de usuário”, disse Kaltheuner. Se esta coleta de dados está em conformidade com a GDPR e outras leis de privacidade é uma questão em aberto, de acordo com a Privacy International.
A Privacy International está defendendo novas mudanças pelo Facebook e uma maior conscientização entre os desenvolvedores para transmitir a menor quantidade de dados necessários e dar às pessoas mais opções em quais dados são coletados a partir delas.
“A questão [para os desenvolvedores] é, você realmente precisa integrar a SDK e, se integrar, pode fazê-lo de forma seletiva”, disse Kaltheuner. “Você não deve presumir que a implementação padrão está em compliance. E, sempre que você fizer isso, será muito justo e transparente para os usuários saber exatamente como você está coletando dados.”
As respostas dos desenvolvedores dos aplicativos, reagindo ao estudo da Privacy Internationals, variaram.
“Algumas pessoas tiveram a impressão de não entender completamente a SDK e o que a SDK faz. Outros tinham uma interpretação muito diferente do que deveriam fazer legalmente. Outros, na verdade, não perceberam que isso está acontecendo e prometeram atualizar o aplicativo”, disse Kaltheuner.
Dois aplicativos quando notificados – o Skyscanner e o The Weather Channel da IBM – concordaram em fazer alterações imediatas no uso da SDK do Facebook.
.
* * * * *
.
Publicado originalmente no ThreatPost em 30 de dezembro de 2018.
Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.
Autor: Tom Spring
Tradução por Tiago Souza
.