Mau uso de certificado gera atrito entre Facebook, Google e Apple

O fim de semana foi de tensão entre o Facebook, a Google e a Apple, depois que dois escândalos separados, mas bastante semelhantes, revelaram o mau uso de certificados de segurança emitidos pela Maçã às empresas. Tanto a rede social quanto a gigante das buscas estavam utilizando documentos criados apenas para distribuição interna de aplicações para veicular softwares próprios, voltados a trabalhos de telemetria e pesquisa, capazes de obter um grande volume de dados dos smartphones dos usuários.

No caso do Facebook, o software flagrado foi o Research, que convidava utilizadores a permitirem o acesso profundo a dados do celular em troca de um pagamento de US$ 20 por mês. Essa seria uma das bases do sistema de recomendações e do próprio algoritmo da rede social, com os jovens sendo seu principal público-alvo. Mais do que isso, a aplicação em questão era uma nova versão do Onavo, uma solução que já havia sido banida da App Store em 2018 justamente por sua coleta ostensiva de informações.

A Google foi flagrada em situação semelhante com o app Screenwise Meter, que também funcionava por meio de convites e abrangia uma faixa etária que ia dos 13 aos 18 anos, sendo que os menores de idade precisavam de autorização dos pais. Em troca da coleta de dados como tempo conectado, sites mais acessados e aplicativos baixados, os participantes recebiam cartões presentes.

A descoberta foi fruto de uma investigação do site TechCrunch e levou ao banimento de ambas as aplicações por meio da suspensão dos certificados utilizados por elas. No processo, a Apple também acabou tirando do ar soluções voltadas somente aos desenvolvedores do Facebook, interrompendo trabalhos de atualização e produção de novas versões ou recursos. O mesmo também teria acontecido com a Google.

O veto veio em respeito aos termos de uso da loja online da Maçã. Certificados especiais como os usados para as duas empresas são emitidos para empresas parceiras como forma de facilitar o processo de desenvolvimento de apps, para que soluções internas possam ser usadas sem a necessidade de aprovação pela Apple, necessária para liberação pública. Esse requisito também é o responsável por impedir a instalação de softwares paralelos, que não estejam disponíveis na App Store.

A utilização de tais documentos em soluções que vão além dos limites das próprias companhias que as receberam, entretanto, é expressamente proibida, por questões de segurança, principalmente. A instalação de aplicativos por fora da loja online não é permitida para usuários comuns de aparelhos como o iPhone, por exemplo, mas esse era justamente o método utilizado pelas duas aplicações flagradas, que ainda exigiam a configuração de uma VPN para que os dados fossem interceptados pelas companhias.

É aí que a questão se torna ainda mais grave para o lado do Facebook. Enquanto a Google tinha acesso aos dados, mas não àqueles trafegados para sites com protocolo HTTPS (o que significa que credenciais de acesso e informações pessoais estariam teoricamente seguras), a rede social solicitava a leitura até mesmo desse fluxo criptografado. Basicamente, o Research pedia acesso à raiz dos aparelhos e, assim, poderia ler mensagens, e-mails, fotos e praticamente todas as informações trafegadas. Apenas usuários do Signal e do iMessage permaneceram com o tráfego em tais aplicativos seguros, devido a medidas de segurança tomadas pelos próprios desenvolvedores.

A resposta das empresas e as consequências da denúncia

Em resposta enviada ao TechCrunch, a Google afirmou que a utilização de certificados internos da Apple no Screenwise Meter foi um erro, já corrigido pela desativação do aplicativo em todos os dispositivos no qual ele operava.

Por outro lado, a companhia lembrou que a utilização do software era voluntária e que seus usuários, ao serem convidados, estavam cientes do funcionamento da aplicação. A Google reafirmou que, apesar de acompanhar a telemetria na utilização dos iPhones dos participantes, jamais teve acesso a dados criptografados trafegados neles. Além disso, os membros poderiam sair do programa a qualquer momento.

Já em resposta à imprensa, o Facebook negou que seu aplicativo de pesquisas praticasse espionagem ou a coleta ilegal de dados de seus usuários, já que todos concordaram com seus termos ao realizarem a instalação. A rede social disse ainda que alguns dos “principais fatores” sobre a telemetria realizada foram ignorados tanto pela reportagem quanto pela própria Apple ao revogar o acesso a certificados especiais.

A empresa também confirmou que teve seus trabalhos prejudicados pela interrupção no uso dos documentos, mas que já acertou os ponteiros com a Apple e voltou a ter seus softwares internos funcionando. Apesar disso, o Facebook disse que o Research está sendo desativado em todos os dispositivos com iOS.

A questão envolvendo o consentimento pode livrar as duas empresas de certo escrutínio governamental, mas não deve fazer com que elas escapem de investigações por órgãos regulatórios. A principal argumentação, aqui, pode ter a ver com a idade mínima dos participantes de tais programas, que seria de 13 anos, desde que eles contassem com autorização dos pais ou responsáveis. O problema é que, aparentemente, não havia checagem de tais informações e elas poderiam ser dispensadas ou realizadas pelos próprios adolescentes.

Além disso, toda a questão acabou esbarrando também na própria Apple, que, apesar de ter revogado os certificados, também demonstrou ter mais poder do que se esperava sobre os dispositivos dos clientes e os trabalhos de seus parceiros. Surge também a questão: quem mais estaria agindo da mesma forma e apenas não foi descoberto ainda?

Fonte: TechCrunch