Alguns aplicativos para Android compartilham secretamente seus dados com o Facebook

Aplicativos para Android têm secretamente compartilhado dados de uso com o Facebook, mesmo quando os usuários estão desconectados da rede social – ou não possuem uma conta.

O grupo de defesa e privacidade Privacy International anunciou as descobertas em uma apresentaçãono 35º Congresso de Computação do Caos no mês passado. A organização testou 34 aplicativos e documentou os resultados , como parte de um relatório para download .

Os pesquisadores descobriram que 61% dos aplicativos testados informam automaticamente ao Facebook que um usuário os abriu. Isso acompanha outros dados básicos do evento, como o fechamento de um aplicativo, além de informações sobre o dispositivo e a localização suspeita, com base nas configurações de idioma e horário. Os aplicativos vêm fazendo isso mesmo quando os usuários não têm uma conta no Facebook, segundo o relatório.

Alguns aplicativos foram muito além das informações básicas sobre eventos, enviando dados altamente detalhados. Por exemplo, o aplicativo de viagens Kayak envia rotineiramente informações de pesquisa, incluindo datas e cidades de partida e chegada, além do número de ingressos (incluindo ingressos para crianças).

O aplicativo de aprendizado de idiomas Duolingo foi um dos vários aplicativos que o relatório chamou para compartilhar dados extras, incluindo “como o aplicativo é usado, quais menus o usuário visitou e outras informações de interação”.

A mensagem ocasional dizendo a alguém que você abriu um aplicativo de aprendizado de idioma e decidiu atualizar seu alemão pode parecer inofensiva, mas ainda assim a Privacy International está preocupada. O relatório dizia:

Se combinados, os dados de diferentes aplicativos podem representar uma imagem refinada e íntima das atividades, interesses, comportamentos e rotinas das pessoas.

Além disso, o relatório diz que esses dados básicos do SDK poderiam passar para uma categoria especial de dados do usuário especialmente protegidos pelo GDPR. Se você abrir um aplicativo médico ou religioso e esses dados forem enviados para o Facebook, ele poderá incluir dados sobre a saúde do usuário ou crenças religiosas, diz o documento.

Isso é mais provável quando os aplicativos enviam essas informações com um ID exclusivo de publicidade do Google (AAID), que, de acordo com o relatório, costumam fazer. Muitas empresas de tecnologia de publicidade sincronizam os AAIDs em diferentes dispositivos para que possam criar um perfil melhor das atividades de um usuário em dispositivos móveis e computadores.

O que o Facebook poderia usar essas informações? Alguns usos possíveis destacados pelo relatório incluem contatos correspondentes e criação de públicos-alvo segmentáveis. A rede social também é conhecida por rastrear o uso de aplicativos no passado para ganhar inteligência de mercado sobre quais aplicativos as pessoas estão usando, como fez com o produto Onavo VPN que ele comprou e subsequentemente removeu da loja de aplicativos da Apple.

O Facebook fornece mecanismos de exclusão que devem permitir que pessoas sem contas do Facebook controlem os anúncios que veem. No entanto, usar esses opt-outs não impede que os aplicativos compartilhem os dados de uso dos usuários, alegou o relatório. Os controles avançados também não são controlados para controlar como os aplicativos coletam dados, que o Google incluiu no Android 6.0 ou superior.

Os aplicativos compartilham esses dados de evento por meio de um kit de desenvolvimento de software (SDK) que os desenvolvedores devem usar se quiserem que seus aplicativos interajam com a rede social. O relatório diz que, embora os desenvolvedores pudessem restringir os dados do evento que enviavam por um tempo, o SDK ainda enviava os dados básicos sobre a abertura de aplicativos como parte de um processo de inicialização que os desenvolvedores não conseguiam controlar.

A coleta de dados padrão pode colocar o Facebook em violação do Regulamento Geral de Proteção de Dados da Europa (GDPR), de acordo com a Privacy International. A incapacidade de impedir que seus próprios aplicativos enviassem dados para o Facebook levou vários desenvolvedores a entrar em contato com o Facebook, levantando preocupações sobre a conformidade.

O relatório alerta que desistir automaticamente dos dados de eventos do usuário por meio do SDK pode violar as regras de consentimento do GDPR, acrescentando que, mesmo que o usuário concordasse em preencher os termos e condições ao instalar um aplicativo, eles não poderiam facilmente revogar esse consentimento posteriormente. Dizia:

… Sob a implementação padrão do SDK, os dados pessoais são transmitidos para o Facebook antes que um indivíduo tenha a oportunidade de receber mais informações ou para consentir com esse compartilhamento de dados.

O Facebook lançou a versão 4.34 do SDK em 28 de junho, o que permitiu que os desenvolvedores atrasassem o envio dos dados de inicialização do SDK até que o desenvolvedor obtivesse o consentimento do usuário. No entanto, esse lançamento do SDK ocorreu 35 dias após a entrada em vigor do GDPR. Mesmo agora, os desenvolvedores ainda precisam adiar o envio desses dados pelo SDK.

O relatório sugere que o SDK, tal como está, pode violar o princípio de proteção de dados da GDPR por design e por padrão, o que exige que as empresas coletem apenas os dados necessários para fins específicos:

… O design do SDK do Facebook juntamente com a implementação padrão do Facebook SDK faz exatamente o oposto, ou seja, automaticamente (por padrão) a transferência de dados pessoais para o Facebook para fins não especificados.

O Facebook deve ser responsável pela forma como os desenvolvedores terceirizados transmitem os dados do usuário? A Privacy International pensa que sim, afirmando que eles compartilham a responsabilidade:

O Facebook não pode simplesmente se esquivar da responsabilidade pelos dados transmitidos através do SDK do Facebook, impondo termos contratuais a outros, como desenvolvedores ou provedores de aplicativos.

Alguns desenvolvedores já responderam ao relatório da Privacy International. O Skyscanner, que estava usando uma versão anterior ao mês de junho do SDK, disse que atualizou seu aplicativo para usar uma versão mais recente e que auditaria seu acompanhamento de consentimento.

O projeto de pesquisa da Privacy International não poderia ter chegado em um momento mais sensível para o Facebook. O Comissário de Proteção de Dados da Irlanda já está investigando a violação de dados da empresa no ano passado, que viu até 50 milhões de contas comprometidas, para ver se violava o GDPR: