Apps estão coletando sem autorização números de ID de aparelhos no Android

De acordo com uma pesquisa do Instituto Internacional de Ciência da Computação, aplicativos para Android vêm coletando sem autorização informações sobre o aparelho dos usuários, e aparentemente não há nada que as pessoas possam fazer sobre isso.

O estudo estipula que pelo menos 17.000 aplicativos que rodam no sistema operacional da Google ainda coletam informações de identificação, os quais criam um registro permanente das atividades dos dispositivos, violando a política da gigante de buscas, já que os dados podem usados ​​para direcionar os usuários para publicidades.

Os dados são coletados a partir da “Advertising ID” do usuário, uma espécie de número de identificação exclusivo que é usado para personalizar os anúncios de acordo com as buscas e sites visitados pela pessoa. Além deste, também são usados outros identificadores do telefone que são difíceis ou impossíveis de alterar.

Neste grupo estão inclusas as seguintes IDs exclusivas: o endereço MAC, o IMEI e o Android ID. De acordo com os pesquisadores, menos de um terço dos aplicativos que usam números de identificadores coletam apenas o Advertising ID — a Google, inclusive, recomenda aos desenvolvedores que apenas esta informação seja coletada.

Serge Egelman, o líder do estudo, comentou que “a privacidade desaparece” quando os apps coletam esses identificadores. Segundo ele, sua equipe relatou as descobertas para a Google em setembro, quando observou que a maioria dos aplicativos estavam enviando informações de identificação para serviços de publicidade, violando as políticas da companhia.

Quais apps foram detectados

Nas políticas da Google, é permitida a coleta de identificadores pelos desenvolvedores, mas as mesmas não podem ser usadas para vias de publicidade, ainda mais sem o consentimento explícito do usuário. Infelizmente, porém, a prática já está enraizada na indústria tecnológica e, mesmo que as empresas criem medidas de segurança, desenvolvedores tendem a ignora-las.

E com o advento dos smartphones e tablets, os dados que antes eram coletados em sua grande maioria através de cookies em navegadores, passaram a ser coletados em uma prática comum via aplicativos. Em janeiro, houve o episódio em que o Facebook e a Google usaram uma ferramenta para contornar as regras de privacidade da Apple e criar apps para iOS que coletam informações do usuário.

E aconteceu também o escândalo com a Cambridge Analytica do Facebook em 2018, além de outras polêmicas envolvendo a privacidade dos usuários. Egelman e sua equipe, inclusive, já haviam encontrado cerca de 6.000 aplicativos voltados para crianças que coletavam dados de forma inadequada.

Todavia, agora os apps de grande nome voltados para adultos estão coletando identificadores e os repassando para serviços de publicidade; dentre eles: Angry Birds Classic, Audible e Flipboard. Além destes, o Clean Master, Battery Doctor e Cheetah Keyboard, todos utilitários desenvolvidos pela Cheetah Mobile, também foram listados pelo estudo por repassarem dados para redes de anúncios.

A Clean Master, uma ferramenta voltada para a otimização do sistema e que serve como antivírus, foi instalada em 1 bilhão de dispositivos e todos os demais softwares foram instalados em pelo menos 100 milhões de dispositivos. A Flipboard negou as alegações e representantes da Audible ou da Rovio, que desenvolve a série Angry Birds para mobile, não se pronunciaram sobre o assunto.

A resposta da Google

Apesar de parecer tarde para se fazer algo a respeito, a Google afirmou que investigou o estudo de Egelman e tomou medidas a respeito de alguns aplicativos, ainda que tenha se recusado a informar quais exatamente, tampouco as ações que foram executadas. A gigante de buscas apenas ressaltou que permite a coleta de identificadores de aparelhos, inclusive o Android ID para finalidades específicas, como detecção de fraude, por exemplo.

A Google também alegou que pode impor suas políticas sobre os desenvolvedores apenas quando os apps enviam identificadores para as redes de publicidades da própria gigante de buscas, tais como a AdMob. Mas se os aplicativos enviarem dados para nomes externos, a companhia afirma que não pode monitorar as violações.

Ainda assim, a Google disse que leva “essas questões muito a sério”, e que “a combinação de Advertising ID com identificadores de dispositivo para fins de personalização de publicidade é estritamente proibida”. Por fim, a gigante de buscas também afirmou que está “constantemente revisando aplicativos”, incluindo os que foram listados pelo estudo de Egelman.

Em contrapartida, um porta-voz da Cheetah Mobile afirmou que a empresa está em conformidade com as políticas e leis da Google, e que seus apps enviam o Android ID de um aparelho para empresas que ajudam a rastrear onde seus produtos foram instalados, de modo que as informações não são usadas para anúncios segmentados.

O representante também afirmou que o app Battery Doctor foi atualizado em 2018 para não mais coletar o IMEI dos dispositivos e que a versão usada nos estudos era a antiga. O caso da pesquisa de Egelman remete, inclusive, a quando o Uber quase foi removido da App Store em 2015 por ter sido acusado de coletar identificadores de aparelhos também.

Usuários de mãos atadas

Os estudos usaram apps em um Android 6 Marshmallow. Hoje, pouco mais da metade dos aplicativos possuem suporte a essa versão do sistema da Google. De acordo com Egelman, mudar a Advertising ID é como limpar dados de navegação de um browser, o que ajuda a impedir a coleta de dados ao longo do tempo.

Contudo, não é possível redefinir identificadores de hardware, como o endereço MAC, que é um identificador exclusivo que o dispositivo transmite para conexões de internet e roteadores, ou o IMEI, que é o número de identificação exclusivo de cada aparelho, muitas vezes usado para evitar que um celular roubado seja usado.

Quanto ao Android ID, que apesar de ser único para cada dispositivo, pode ser redefinido ao executar uma restauração de fábrica nas configurações do aparelho. Quando os apps enviam esses números para redes de anúncios, não importa quantas vezes o usuário redefina a Advertising ID: as empresas de anúncios ainda poderão enviar propagandas personalizadas para as pessoas.

Do outro lado do espectro, já existe a expectativa de que questões serão levantadas em breve pelo Regulamento Geral de Proteção de Dados (GDPR, da sigla em inglês), uma lei da União Europeia que exige que as organizações informem aos usuários tudo o que é coletado sobre eles. A prática de repassar números de identificadores, afinal, viola essa demanda.

Fonte: Cnet