A Apple diz: “O que acontece no seu iPhone permanece no seu iPhone”. Nosso experimento de privacidade mostrou que 5.400 rastreadores de aplicativos ocultos consumiram nossos dados – em uma única semana.
São três da manhã. Você sabe o que seu iPhone está fazendo? O meu está assustadoramente ocupado. Embora a tela esteja desligada e eu esteja roncando, os aplicativos estão transmitindo muitas informações sobre mim para empresas das quais nunca ouvi falar. Seu iPhone provavelmente está fazendo o mesmo – e a Apple poderia estar fazendo mais para parar este processo.
Numa recente noite de segunda-feira, uma dúzia de empresas de marketing, de pesquisa e outros usuários de dados pessoais obtiveram relatórios do meu iPhone. Às 23h43, uma empresa chamada Amplitude descobriu meu número de telefone, e-mail e localização exata. Às 3:58 da manhã outra, chamada Appboy, conseguiu uma impressão digital digital do meu telefone. Às 6:25 da manhã, um rastreador chamado Demdex recebeu uma maneira de identificar meu telefone e enviou de volta uma lista de outros rastreadores com os quais parear.
E a noite toda, houve um comportamento surpreendente de um nome familiar: Yelp. Estava recebendo uma mensagem que incluía meu endereço IP – uma vez a cada cinco minutos.
Nossos dados têm uma vida secreta em muitos dos dispositivos que usamos todos os dias, desde alto-falantes da Alexa até TVs inteligentes. Mas temos um ponto cego gigante quando o assunto são empresas de dados que estão investigando nossos telefones.
Você pode supor que pode contar com a Apple para ocultar todos os detalhes de privacidade. Afinal, eles divulgaram em um anúncio recente que diz: “O que acontece no seu iPhone permanece no seu iPhone”. Minha investigação sugere o contrário.
Os aplicativos para iPhone que descobri me rastreando passando informações a terceiros – enquanto eu dormia – incluem o Microsoft OneDrive, o Intuit, o Mint, Nike, Spotify, The Washington Post e o IBM Weather Channel. Um dos aplicativos, o serviço de alerta criminal Citizen, compartilhou informações de identificação pessoal, violando sua política de privacidade publicada.
E seu iPhone não alimenta apenas rastreadores de dados enquanto você dorme. Em uma única semana, encontrei mais de 5.400 rastreadores, principalmente em aplicativos, sem incluir o tráfego incessante do Yelp. De acordo com a empresa de privacidade Disconnect, que ajudou a testar meu iPhone, esses rastreadores indesejados teriam liberado 1,5 gigabyte de dados ao longo de um mês. Isso é metade de um plano básico de serviços sem fio da AT&T.
“Estes são seus dados. Por que deveriam deixar seu telefone? Por que eles devem ser coletados por alguém quando você não sabe o que farão com eles?”, Diz Patrick Jackson, ex-pesquisador da Agência de Segurança Nacional que é diretor de tecnologia da Disconnect. Ele conectou meu iPhone a um software especial para que pudéssemos examinar o tráfego. “Conheço o valor dos dados e não quero os meus em nenhuma das mãos onde eles não precisem estar”, diz ele.
Em um mundo de agentes de dados, Jackson é o quebrador de dados. Ele desenvolveu um aplicativo chamado Privacy Pro que identifica e bloqueia muitos rastreadores. Se você é um pouco técnico, recomendo experimentar a versão iOS gratuita para vislumbrar a vida secreta do seu iPhone.
Sim, os rastreadores também são um problema em telefones com Android do Google. O Google nem deixou o software de proteção contra rastreadores da Disconnect entrar em sua Play Store. As regras do Google proíbem aplicativos que possam interferir em outro aplicativo que exibem anúncios.
Parte da objeção de Jackson aos rastreadores é que muitos alimentam a economia de dados pessoais, usada para nos direcionar para marketing e mensagens políticas. Os fiascos do Facebook nos tornaram mais conscientes de como nossos dados podem ser repassados, roubados e mal utilizados – mas o Cambridge Analytica foi apenas o começo.
A maior preocupação de Jackson é a transparência: se não sabemos para onde nossos dados estão indo, como podemos esperar mantê-los em sigilo?
A lacuna dos aplicativos
Os rastreadores de aplicativos são como os cookies em sites que reduzem o tempo de carregamento, gastam a bateria e fazem com que anúncios assustadores sigam você pela Internet. Exceto nos aplicativos, há poucos rastreadores de aviso à espreita e você não pode escolher outro navegador para bloqueá-los.
Por que os rastreadores são ativados no meio da noite? Alguns fabricantes de aplicativos solicitam que eles liguem para casa quando o telefone estiver conectado ou que não interfiram em outras funções. Esses encontros noturnos acontecem no iPhone se você tiver permitido a atualização de aplicativos em segundo plano, que é o padrão da Apple.
Com o Yelp, a empresa diz que o comportamento que descobri não foi um rastreador, mas um “problema não intencional” que tem agido como um rastreador. O Yelp acha que minha descoberta afeta 1% de seus usuários de iOS, principalmente aqueles que fizeram reservas pelo Apple Maps. Na melhor das hipóteses, é um software de má qualidade que enviou os dados do Yelp de que não precisava. Na pior das hipóteses, o Yelp estava acumulando um acervo de dados que poderia ser usado para mapear as viagens das pessoas, mesmo quando elas não estavam usando o aplicativo.
Um exemplo mais típico é o DoorDash, o serviço de entrega de comida. Inicie esse aplicativo e você estará enviando dados para nove rastreadores de terceiros – embora você não tenha como saber.
Os fabricantes de aplicativos geralmente usam rastreadores porque são atalhos para pesquisa ou receita. Eles variam de inócuo a insidioso. Alguns são como consultores que os fabricantes de aplicativos pagam para analisar o que as pessoas usam e olham. Outros rastreadores pagam aos fabricantes de aplicativos, extraindo valor de nossos dados para segmentar anúncios.
No caso do DoorDash, um rastreador chamado Sift Science obtem uma impressão digital do seu telefone (nome do dispositivo, modelo, identificador de anúncio e tamanho da memória) e até dados de movimento do acelerômetro para ajudar a identificar fraudes. Mais três rastreadores ajudam o DoorDash a monitorar o desempenho do aplicativo – incluindo um chamado Segment que roteia os dados posteriores, incluindo seu endereço de entrega, nome, e-mail e operadora de celular.
Os outros cinco rastreadores da DoorDash, incluindo o Facebook e o Google Ad Services, ajudam a entender a eficácia de seu marketing. A presença deles significa que o Facebook e o Google sabem toda vez que você abre o DoorDash.
A empresa de entrega me diz que não permite que os rastreadores vendam ou compartilhem nossos dados, o que é ótimo. Mas sua política de privacidade joga as mãos para o ar: “DoorDash não é responsável pelas práticas de privacidade dessas entidades”, diz.
Todos, com exceção de um dos nove rastreadores do DoorDash, entraram para a lista de impertinentes do Jackson para Disconnect, que também aciona o modo de navegação privada do navegador Firefox. Para ele, qualquer terceiro que colete e retenha nossos dados é suspeito, a menos que também tenha políticas de privacidade pró-consumidor, como limitar o tempo de retenção de dados e anonimizar dados.
A Microsoft, Nike e o Weather Channel me disseram que estavam usando os rastreadores que descobri para melhorar o desempenho. A Mint, de propriedade da Intuit, disse que usa um rastreador de marketing da Adobe para ajudar a descobrir como anunciar para os usuários do Mint. O Post disse que seus rastreadores foram usados para garantir que os anúncios funcionassem. O Spotify me indicou sua política de privacidade.
As políticas de privacidade não fornecem necessariamente proteção. Citizen, o aplicativo para denúncias de crimes com base na localização, publicou que não compartilharia “seu nome ou outras informações de identificação pessoal”. No entanto, quando executei meu teste, descobri que ele enviava repetidamente meu número de telefone, e-mail e coordenadas exatas de GPS para o rastreador Amplitude.
A decepção
O que me decepciona é que os “dados gratuitos e liberados para todos” que descobri estão acontecendo em um iPhone. A Apple não deveria ser a melhor em privacidade? “Na Apple, fazemos muito para ajudar os usuários a manter seus dados privados”, afirma a empresa em comunicado. “O hardware e o software da Apple foram projetados para fornecer segurança e privacidade avançadas em todos os níveis do sistema”.
Em algumas áreas, a Apple está à frente. A maioria dos aplicativos e serviços da Apple cuida da criptografia de dados ou, melhor ainda, de não coletá-los. A Apple oferece uma configuração de privacidade chamada “Limitar rastreamento de anúncios” (infelizmente desativada por padrão), o que torna um pouco mais difícil para as empresas rastrearem você nos aplicativos, por meio de um identificador exclusivo para cada iPhone.
E com o iOS 12, a Apple tirou fotos da economia de dados melhorando a “prevenção de rastreamento inteligente” em seu navegador Safari. Hoje em dia, passamos mais tempo em aplicativos. A Apple é rigorosa em exigir que os aplicativos obtenham permissão para acessar determinadas partes do iPhone, incluindo câmera, microfone, localização, informações de saúde, fotos e contatos. (Você pode verificar e alterar essas permissões nas configurações de privacidade.) Mas a Apple fecha os olhos para o que os aplicativos fazem com os dados que fornecemos ou geram sobre nós – veja os tipos de rastreamento que encontrei procurando por poucos dias.
“Para os dados e serviços que os aplicativos criam por conta própria, nossas Diretrizes da App Store exigem que os desenvolvedores publiquem políticas de privacidade claramente e solicitem aos usuários permissão para coletar dados antes de fazê-lo. Quando descobrimos que os aplicativos não seguiram nossas Diretrizes nessas áreas, fazemos com que os aplicativos mudem de prática ou impedimos que esses aplicativos estejam na loja ”, diz a Apple.
No entanto, pouquíssimos aplicativos que encontrei usando rastreadores de terceiros divulgaram os nomes dessas empresas ou como elas protegem meus dados. E de que serve enterrar essas informações nas políticas de privacidade? O que precisamos é de responsabilidade.
Ficar mais profundamente envolvido nas práticas de dados de aplicativos é complicado para a Apple. A tecnologia de hoje frequentemente é construída em serviços de terceiros, então a Apple não pode simplesmente banir todas as conexões com servidores externos. E algumas empresas são tão grandes que nem precisam da ajuda de pessoas de fora para nos rastrear.
O resultado não deve ser aumentar o poder da Apple. “Gostaria de garantir que eles não sufocassem a inovação”, diz Andrés Arrieta, diretor de engenharia de privacidade do consumidor da Electronic Frontier Foundation. Se a Apple se tornar a polícia de privacidade da Internet, poderá desligar os rivais.
Jackson sugere que a Apple também pode adicionar controles ao iOS, como os do Privacy Pro, para dar a todos mais visibilidade.
Ou talvez a Apple possa exigir que os aplicativos sejam rotulados quando estiverem usando rastreadores de terceiros. Se eu abrisse o aplicativo DoorDash e visse nove avisos do rastreador, isso poderia me fazer pensar duas vezes antes de usá-lo.
Traduzido e adaptado de The Washington Post. It’s the middle of the night. Do you know who your iPhone is talking to? FOWLER, Geoffrey. Disponível em: https://www.washingtonpost.com/technology/2019/05/28/its-middle-night-do-you-know-who-your-iphone-is-talking/. Acesso em 9 set. 2019.
