“Você pode abrir uma porta com uma chave, mas também pode encontrar a forma de fazê-lo sem ter essa chave”, prossegue o especialista. O mesmo ocorre ao tentar acessar a geolocalização de um aparelho. Ele pode não ter acesso ao GPS, mas mesmo assim encontrar o modo de acessar a informação de posicionamento do usuário.
Metadados
Uma forma de fazer isso é através dos metadados que estão integrados às fotos tiradas pelo dono do smartphone, segundo Vallina. “Por definição, cada foto tirada por um usuário Android contém metadados como a posição e a hora. Vários apps acessam a posição histórica do usuário pedindo a permissão para ler o cartão de memória, porque é lá onde estão armazenadas as fotos, sem ter que pedir acesso ao GPS”, explica. É o caso do Shutterfly, um aplicativo de edição de fotografia. Os pesquisadores comprovaram que ele reunia informação de coordenadas do GPS a partir das imagens dos usuários, mesmo que estes tivessem negado a permissão para acessar a sua localização.
Também é possível acessar a geolocalização através do ponto de acesso wi-ficom o endereço MAC do router, um identificador atribuído pelo fabricante que pode ser correlacionado com bases de dados existentes e averiguar a posição do usuário “com uma resolução bastante precisa”.
Para que o aplicativo possa acessar essa informação, existe uma permissão que o usuário deve ativar em seu smartphone, chamado “informação da conexão wi-fi”, conforme ensina Vallina. Mas há apps que conseguem obter esses dados sem que a permissão esteja ativada. Para isso, extraem a direção MAC do router, que o aparelho obtém mediante o protocolo ARP (Address Resolution Protocol), que serve por sua vez para conectar e descobrir os dispositivos que estão em uma rede local. Ou seja, os aplicativos podem acessar uma pasta que expõe a informação MAC do ponto de acesso wi-fi: “Se você sem nenhum tipo de licença lê essa pasta que o sistema operacional expõe, pode saber a geolocalização de forma totalmente opaca para o usuário”.
Bibliotecas de terceiros
Muitos desses vazamentos de dados ou abusos à privacidade do usuário são feitos através de bibliotecas, que são serviços ou miniprogramas de terceiros incluídos no código dos aplicativos. Essas bibliotecas são executadas com os mesmos privilégios que o app em que se encontram. Em muitas ocasiões, o usuário nem está consciente de sua existência. “Muitos desses serviços têm um modelo de negócio que está baseado na obtenção e processamento dos dados pessoais”, diz o pesquisador.
Por exemplo, aplicativos como a da Disney de Hong Kong utilizam o serviço de mapas da companhia chinesa Baidu. Assim, podem acessar, sem necessidade de qualquer permissão, informações como o IMEI e outros identificadores que as bibliotecas do buscador chinês armazenam no cartão SD. Os aplicativos de saúde e navegação da Samsung, que estão instalados em mais de 500 milhões de aparelhos, também utilizaram este tipo de bibliotecas para seu funcionamento. “A própria biblioteca explora essas vulnerabilidades a fim de acessar esses dados para seus próprios fins. Não está claro se depois o desenvolvedor do app acessa os dados através da biblioteca”, explica.
Vallina afirma que nas próximas pesquisas será analisado o ecossistema das bibliotecas de terceiros e para que finalidades os dados são obtidos. Também estudarão os modelos de rentabilização existentes no Android e a transparência dos aplicativos quanto ao que eles fazem e o que dizem fazer nas políticas de privacidade. Para evitar práticas desse tipo, Joel Reardon, também coautor do estudo, aponta a importância de realizar pesquisas desse tipo com o objetivo de “encontrar esses erros e preveni-los”.
Se os desenvolvedores de aplicativos podem evitar as permissões, faz sentido pedir permissão aos usuários? “Sim”, responde Reardon, taxativo. O pesquisador insiste em que os aplicativos não podem burlar todos os mecanismos de controle, e que pouco a pouco ficará mais difícil para eles. “O sistema de permissões têm muitas falhas, mas ainda assim ele serve para algo e persegue um propósito importante”, afirma.
Responsabilidade dos desenvolvedores
No caso de usuários na Espanha, estas práticas realizadas sem o consentimento descumprem, entre outras normativas, o Regulamento Geral de Proteção de Dados (RGPD) e a Lei Orgânica de Proteção de Dados. Os desenvolvedores desses aplicativos poderiam enfrentar, segundo o RGPD, sanções econômicas de até 20 milhões de euros (75,3 milhões de reais) ou 4% do faturamento anual da empresa. E inclusive poderiam responder por um delito contra a intimidade (artigo 197 do Código Penal espanhol) que poderia acarretar penas da prisão, segundo Adsuara.
O advogado afirma que a maior parte da responsabilidade recai sobre os desenvolvedores. Mas considera que tanto as lojas – Google Play e Apple Store – como as plataformas que permitem o acesso dos aplicativos aos dados de seus usuários – como o Facebook, no caso Cambridge Analytica – têm uma responsabilidade in vigilando: “Quer dizer, o dever de vigiar que os aplicativos que sua loja aceita ou aos quais permitem que tenham aos dados de seus usuários em sua plataforma sejam seguros”.
“Embora cada um seja responsável por seus atos, sente-se a falta de alguma autoridade espanhola ou europeia que revise a segurança dos aplicativos e serviços antes de seu lançamento no mercado”, afirma. E salienta que, em outros setores, existe algum tipo de certificação que garante que um produto ou serviço seja seguro. “A ninguém ocorre, por exemplo, que se autorize a circulação de carros com os freios falhando. Para não falar em remédios, alimentos e brinquedos. Entretanto, é normal no setor que se lancem no mercado aplicativos e serviços com falhas de segurança que, depois, com o bonde andando, vão emendando”.