Por Yael Grauer.
PESQUISADORES DO LABORATÓRIO de Privacidade (Privacy Lab) da Universidade de Yale e da Exodus Privacy, organização francesa sem fins lucrativos, analisaram a proliferação de programas de rastreamento em smartphones e descobriram que aplicativos comuns — como os de clima, os que criam uma luz de lanterna, os de compartilhamento de caronas e até de relacionamento, entre outros — estão infestados de dezenas de rastreadores, que coletam um enorme volume de informações dos usuários para melhor direcionar os anúncios.
Os pesquisadores da Exodus identificaram 44 rastreadores em mais de 300 aplicativos para smartphones com Android, o sistema operacional móvel do Google. Os aplicativos analisados já foram baixados bilhões de vezes. O Laboratório de Privacidade, que faz parte da faculdade de Direito de Yale, está tentando reproduzir os resultados da Exodus e já divulgou relatórios sobre 25 rastreadores.
Os pesquisadores da universidade americana só conseguiram analisar aplicativos Android, mas imaginam que muitos desses rastreadores também existam no iOS, uma vez que as empresas costumam distribuir para ambas as plataformas. Para encontrar os scripts de rastreamento, os pesquisadores da Exodus desenvolveram uma plataforma de auditoria customizada para o ecossistema Android, que pesquisou os aplicativos em busca de “assinaturas” digitais extraídas de rastreadores já conhecidos. Uma “assinatura” pode ser um conjunto de palavras-chave sinalizadoras ou uma cadeia de bytes, encontrados num arquivo de aplicativo, ou uma representação matematicamente derivada do próprio arquivo (um “hash”).
Esses resultados reforçam a onipresença das ferramentas de rastreamento, a despeito de um sistema de permissões no Android que deveria dar aos usuários controle sobre seus dados. Eles também destacam como um grupo grande e variado de empresas atua para permitir o rastreamento.
“Acho que as pessoas, bem ou mal, se acostumaram à ideia de que o Lyft pode estar rastreando seus dados”, disse Sean O’Brien, pesquisador visitante no laboratório de Yale. “E se acostumaram ao fato de que, se o Lyft está no Android e vem do Google Play, então o Google pode estar fazendo rastreamento também. Mas eu não acho que elas nem imaginam que seus dados estão sendo revendidos ou pelo menos redistribuídos por meio desses outros rastreadores.”
Os pesquisadores identificaram, no sistema Android, que os aplicativos de relacionamento Tinder e OkCupid, o app do Weather Channel e o de lanterna Superbright LED Flashlight continham seis ou sete rastreadores cada um. O aplicativo do serviço de música digital Spotify tinha quatro rastreadores, sendo dois do Google; o serviço de transporte Uber, três rastreadores; e eles estavam presentes também no Skype, Lyft, Accuweather e Microsoft Outlook.
(Em nota, um representante do Spotify afirmou: “Levamos a sério a segurança de dados e a privacidade. Nosso objetivo é dar aos usuários e aos parceiros anunciantes uma ótima experiência enquanto mantemos a confiança dos consumidores.” Um representante do Uber indicou a The Intercept uma publicação detalhada sobre o uso de cookies pela empresa, que inclui uma lista não exaustiva dos seus provedores de cookies de terceiros. Os usuários que visitam a seção de política de privacidade no site do Uber podem clicar em um link para optar por não permitir [“opt-out”] o acesso dos rastreadores, que aparentemente só se aplica à publicidade baseada em interesses sobre o tráfego web. Essa preferência não funciona se o usuário desabilitar cookies de terceiros, e os usuários precisam optar novamente depois de deletar seus cookies.)
Alguns aplicativos têm plataformas próprias de análise de tráfego, mas também incluem outros rastreadores em seu código. O Tinder, por exemplo, usa cinco rastreadores além do seu script próprio.
“A verdadeira pergunta que deve ser feita às empresas é: o que as motiva a usar múltiplos rastreadores?”, indagou O’Brien.
“Os dados são o óleo que faz a máquina funcionar, e acho que eles estão só procurando diferentes formas de extraí-los.”
Graças ao uso intenso de rastreadores, o Tinder tem conseguido realizar análises de comportamentos de seus usuários. Está sendo paga pela companhia de produtos de barba Gillette para fazer uma pesquisa altamente segmentada: universitários do sexo masculino com pelos faciais bem aparados recebem mais deslizes à direita no Tinder do que aqueles com pelos faciais em desalinho?
As funcionalidades dos rastreadores descobertos pela Exodus incluem segmentar usuários com base em dados de terceiros, identificar atividade offline por meio de aprendizagem de máquina, rastrear comportamento em diversos aparelhos, identificar e correlacionar usuários isoladamente, e segmentar também usuários que abandonam carrinhos de compras. A maior parte dos rastreadores funciona derivando um código de identificação do seu dispositivo móvel ou navegador web, que então é compartilhado com terceiros para traçar o seu perfil com maior precisão. Criadores de aplicativos podem até mesmo vincular dados coletados por rastreadores a perfis ou indivíduos, incluindo detalhes de nome e conta. Algumas companhias de rastreamento alegam que anonimizam os dados e que possuem regras rígidas para impedir o compartilhamento público de informações identificáveis, mas o imenso volume de dados coletados pode permitir a identificação de usuários mesmo com essas precauções.
Embora alguns dos aplicativos identificados pelos pesquisadores (se não todos) em tese divulguem o uso de rastreadores nas letras miúdas de suas políticas de privacidade, termos de serviço ou descrições de aplicativo, é no mínimo difícil para usuários de smartphones ter uma noção clara da extensão e da natureza do monitoramento que sofrem. Até porque, no fim das contas, o objetivo de usar um aplicativo móvel normalmente é economizar tempo.
“Quantas pessoas sequer sabem que esses rastreadores estão lá?” disse Michael Kwet, outro pesquisador visitante no Laboratório de Privacidade de Yale. “A Exodus precisou desenvolver um programa só para detectar que eles existiam.”
Alguns rastreadores oferecem aos usuários a possibilidade de optar, por e-mail ou pelas configurações de privacidade, por não permitir o rastreamento. A função, no entanto, pode voltar a operar mesmo depois que essa medida seja tomada. Um determinado aplicativo, por exemplo, exige que os usuários que esvaziam a memória cache façam a opção novamente. Algumas opções são temporárias. E mesmo quando são permanentes, poucos usuários sequer sabem como ativá-las.
O poder dos rastreadores
O Google tem um interesse próprio em permitir o livre uso dos rastreadores nos aplicativos distribuídos pelo Google Play: um dos rastreadores mais difundidos é desenvolvido por sua plataforma de publicidade Double Click, que direciona os anúncios para os usuários por localização e em diferentes dispositivos e canais; segmenta usuários com base em seu comportamento online; vincula isso a informações pessoalmente identificáveis; e oferece compartilhamento de dados e integração com vários sistemas de publicidade. É possível encontrar o rastreador da DoubleClick em vários aplicativos populares, incluindo Tinder, OkCupid, Lyft, Uber, Spotify, Weather Channel e Accuweater, e até mesmo nos aplicativos de lanterna Superbright LED e LED Light.
Um representante do Google confirmou que suas plataformas de publicidade DoubleClick for Publishers e AdMod veiculam anúncios em dispositivos Android e iOS, e que as informações coletadas pelas redes são vinculadas a um identificador permanente para mensurar o engajamento dos usuários. Embora os usuários possam controlar as informações que o Google usa para exibir anúncios, não podem especificamente optar por não permitir o DoubleClick.
O DoubleClick proíbe aos vendedores compartilhar informações pessoalmente identificáveis ou outros identificadores únicos. Afirma que só armazena dados gerais de localização como cidade e código postal, a não ser que os usuários habilitem o histórico de localização na conta Google. Desenvolvedores de aplicativos que usam o DoubleClick Ad Exchange devem divulgar em suas políticas de privacidade que o identificador do usuário será compartilhado, salvo se o usuário optar por não permitir o rastreamento de publicidade, e devem também explicar ao usuário como redefinir seu identificador. O Google compartilha dados de atribuição com anunciantes e parceiros de mensuração por meio do uso desses identificadores.
Talvez o rastreador mais invasivo seja o Fidzup, uma plataforma de marketing de performance para lojas físicas de varejo sediada na França. A empresa afirma em sua seção publicitária ter desenvolvido um meio de comunicação entre um emissor sônico e um aparelho móvel (iOS ou Android) ao emitir um tom inaudível para localizar um usuário em um shopping center ou uma loja. Os telefones dos usuários recebem o sinal e o decodificam para revelar sua localização. A empresa também usa geofencing [“cercamento virtual”] para rastrear usuários de uma “área de captação” específica, como uma determinada seção de uma loja, onde ela pode então veicular anúncios direcionados, possivelmente de uma loja concorrente.
Mathieu Vaas, representante da Fidzup, disse que a empresa não usa os tons inaudíveis há dois anos; em vez disso, está usando uma tecnologia baseada em WiFi para obter dados sobre o comportamento dos consumidores em lojas, de forma a permitir redirecionar os anúncios para atingi-los. As informações sobre a tecnologia sônica, no entanto, estão publicadas no site da Fidzup (acessado em 21 de novembro), e há maiores detalhes numa versão mais antiga do site, acessada em 15 de outubro. Vaas declarou que essas páginas estão desatualizadas e são inacessíveis a partir da página principal, e que serão removidas no novo site que está em desenvolvimento.
Ele também confirmou que, mesmo usando apenas tecnologia WiFi, a Fidzup consegue rastrear comportamentos altamente específicos dentro das lojas, tais como os corredores que foram visitados, o tempo gasto em cada um deles, o número de visitas à loja, entre outros. A Fidzup também consegue potencializar outros aplicativos para obter dados de geolocalização, mas os únicos terceiros que recebem esses dados são os comerciantes que tenham instalado a tecnologia WiFi da empresa em suas lojas, e os dados só estão relacionados ao comportamento dentro de cada loja. Vaas posteriormente declarou que a Fidzup não compartilha informações com terceiros.
“Em cada loja onde estamos presentes, informamos ao público sobre a presença de tecnologia de coleta de dados na loja e informamos que podem desligar seu WiFi, e também fornecemos um link que permite fazer o opt-out permanente do Fidzup. Nesse caso, os dados serão reconhecidos e apagados automaticamente, e não receberão mais anúncios direcionados da Fidzup”, disse ele por e-mail.
Embora sediada na França, a empresa tem escritórios em São Francisco, e Vaas disse que há planos para começar a efetivamente operar nos EUA em breve. Segundo ele, por ser francesa, a Fidzup está sujeita a normas e regulamentos mais rígidos de privacidade do que nos EUA, e eles planejam manter esses padrões em território norte-americano, uma vez que respeitam “profundamente os direitos dos consumidores à privacidade e às liberdades civis”.
O’Brien e Kwet não ficaram muito impressionados pelo compromisso de privacidade da empresa. Para eles, “as práticas da Fidzup espelham as da Teemo (antes conhecida como Databerries), a empresa de rastreamento que se envolveu em um escândalo no começo do ano por estudar a geolocalização de 10 milhões de cidadãos franceses“. A Teemo coletou dados de navegação de usuários de dispositivos móveis e os utilizou para aumentar as vendas das lojas, segmentando os usuários com base nos locais que eles haviam visitado. Seu site afirma que eles podem coletar dados de localização usando GPS, torres de celular, pontos de acesso WiFi, redes sem fio, e sensores como giroscópios, acelerômetros, bússolas e barômetros. Além de coletar endereços IP e identificadores atribuídos a dispositivos móveis, o rastreador pode obter informações de terceiros e combiná-las com as que se encontram em seu poder, e também compartilhar suas informações com terceiros (com algumas restrições). Como também acontece com a Fidzup, não está claro até que ponto a Teemo opera nos EUA. Embora seja uma empresa francesa sediada em Paris, ela tem um escritório em Nova York. A Teemo não se manifestou quando questionada sobre o assunto.
Escalada da vigilância
Nem todos os rastreadores são tão invasivos, embora muitos capturem mais informação do que em tese deveriam. O Crashlytics do Google, por exemplo, é em princípio apenas um notificador de falhas, mas na prática faz muito mais do que simplesmente analisar os relatórios de erro. Tinder, OKCupid, Spotify, Uber, Superbright LED e LED Light usam o Crashlytics, que também consegue vincular usuários através de múltiplos cookies e dispositivos. Já o HockeyApp, da Microsoft, usado pelos aplicativos Microsoft Outlook, Skype e Weather Channel, vai além de simplesmente coletar e analisar relatórios de falhas. Ele consegue rastrear também os usuários ativos diariamente e mensalmente, o número líquido de novos usuários e as contagens de sessões. O AppFlyer (usado pelos aplicativos Tinder, Superbright LED e Weather Channel) faz prevenção de fraudes e protege contra malwares, mas também identifica dispositivos por seus IDs, rastreia usuários em diferentes conjuntos de dados para contornar a fragmentação causada pelo uso de dispositivos diversos pelos usuários, e rastreia quais usuários instalam quais aplicativos. Um representante do AppsFlyer encaminhou a The Intercept a política de privacidade da empresa, e declarou que o rastreador só funciona com negócios e anunciantes, sem se envolver com usuários finais. Seus termos e condições também exigem que os clientes divulguem a coleta e o uso de dados em suas próprias políticas de privacidade.
Além de DoubleClick, Teemo e Fidzup, Braze (antes chamado App-Boy) e Salesforce DMP (antes chamado Krux) parecem coletar grandes volumes de dados. O Braze, usado pelos aplicativos OKCupid e Lyft, consegue rastrear os usuários por local, segmentá-los em diferentes dispositivos e canais, e veicular publicidade direcionada com base nas ações dos consumidores. Já o Salesforce DMP, usado pelo OKCupid, não apenas captura os cliques, downloads e outras interações dos usuários, mas também usa gerenciamento fragmentado de dispositivos (“hashed device management”) para contornar o bloqueio do navegador Safari a cookies de terceiros. O rastreador permite aos vendedores utilizar aprendizagem de máquina para revelar personas, usa uma ID entre diferentes dispositivos. Faz até mesmo uso de análise de comportamentos para adivinhar quando um usuário está dormindo e de um algoritmo de combinação probabilística para fazer correspondência de identidades entre dispositivos. Há uma opção para excluir permissões no site do Salesforce, embora não esteja claro qual proporção de usuários do OKCupid sequer tem consciência de que o site de relacionamentos está permeado pelo rastreador, muito menos de que deveria optar por não permitir esse acesso. O OkCupid não se manifestou quando questionado sobre o assunto.
E quem poderia imaginar que os aplicativos de clima, tão populares, incluem funcionalidades de vigilância? Tanto o Accuweather como o Weather Channel (e também o Spotify) usam o rastreador ScoreCardResearch, que também consegue rastrear dados de utilização, inclusive informações sobre navegação web e comportamento de uso de aplicativos ao longo do tempo e entre diferentes propriedade online, e possíveis relações entre navegadores e dispositivos — que podem ser fornecidas a terceiros para fins publicitários. O rastreador pode inclusive usar provedores de serviço de terceiros para obter mais informações não pessoalmente identificáveis para incluir em seus perfis únicos por meio de cookies.
O rastreador Millennial Media (antes chamado Nexage) é usado pelo Accuweather e pelo Super Bright LED para “automatizar a compra e a venda de publicidade para dispositivos móveis” segmentada por canal e características demográficas, como no caso de uma empresa de shampoo direcionando anúncios para “mulheres com idades entre 25 e 55 anos, com ênfase em […] gravidez, estresse e coloração/descoloração“.
Microsoft Outlook, Weather Channel, Superbright LED e LED Light também usam o Flurry, uma plataforma de publicidade em dispositivos móveis que foi comprada do Yahoo! pela Oath, subsidiária da Verizon. O Flurry rastreia as métricas de performance de dispositivos e aplicativos, analisa as interações dos usuários, identifica seus interesses, armazena perfis de dados como personas, agrupa e correlaciona dados de usuários e injeta anúncios, inclusive de vídeo. Um representante da Oath informou que os termos de serviço do Flurry exigem que os desenvolvedores de aplicativos divulguem uma política de privacidade notificando sobre os dados que são coletados, armazenados e compartilhados, e providenciando um link para a política de privacidade do Flurry ou descrevendo a possibilidade de optar por não permitir o acesso. Além disso, o representante disse que apenas informações que não sejam pessoalmente identificáveis podem sair do sistema do Flurry.
Um outro rastreador, Tune, segue o comportamento online e offline dos usuários de compartilhamento de caronas em diferentes dispositivos e também rastreia o comportamento de usuários dentro dos aplicativos, identifica usuários de forma específica e rastreia sua localização.
O rastreador AppNexus, usado pelo Superbright LED, entre outros aplicativos, usa aprendizagem de máquina para fazer publicidade direcionada. Por telefone, o representante do AppNexus Joshua Zeitz confirmou que o rastreador coleta identificadores de publicidade de dispositivos móveis, tipos de telefone, endereços IP, e um identificador de aplicativo específico. A empresa armazena os identificadores de publicidade de dispositivos móveis e também os cookies dos usuários web, mas Zeitz diz que os dados sobre quais anúncios foram veiculados para quais identificadores são mantidos por apenas 33 dias; que o rastreador não coleta nomes, números de telefone ou números de conta; que são mantidos indefinidamente apenas os identificadores de dispositivo e de navegador e os cookies; e que ele não consegue desfazer o anonimato dos usuários a partir do seu conjunto de dados. A AppNexus declarou que não compartilha os identificadores de dispositivo e de navegador com terceiros.
O’Brien esclareceu que os desenvolvedores de aplicativos podem escolher que tipo de publicidade adotar, mas que é pouco provável que os usuários tenham essas decisões em mente ao instalar os aplicativos. Ele também não acha que as permissões sejam a solução. “Se você chegou ao ponto de ter que perguntar à vítima quanto de rastreamento ela autoriza, você já foi longe demais. Já é um problema”, ele disse.
Sem uma completa revisão desse sistema de publicidade dos telefones, O’Brien considera que a melhor alternativa seja usar o repositório de software F-Droid, que distribui apenas programas gratuitos e de código aberto que não incluam rastreadores ou códigos desconhecidos ou disfarçados.
Tradução: Deborah Leão
Fonte: The Intercept Brasil