Imagens Getty
No ano passado, a Apple promulgou a Transparência de Rastreamento de Aplicativos, uma política obrigatória que proíbe os criadores de aplicativos de rastrear a atividade do usuário em outros aplicativos sem primeiro receber a permissão explícita desses usuários. Defensores da privacidade elogiaram a iniciativa, e o Fb alertou que isso significaria certa desgraça para as empresas que dependem de publicidade direcionada. No entanto, pesquisas publicadas na semana passada sugerem que o ATT, como geralmente é abreviado, nem sempre restringe a coleta clandestina de dados pessoais ou a impressão digital dos usuários.
No coração da ATT está a exigência de que os usuários devem clique em um botão “permitir” que aparece quando um aplicativo é instalado. Ele pergunta: “Permita [app] para rastrear sua atividade em aplicativos e websites de outras empresas?” Sem esse consentimento, o aplicativo não pode acessar o chamado IDFA (Identifier for Advertisers), um identificador exclusivo que o iOS ou iPadOS atribui para que eles possam rastrear usuários em outros aplicativos instalados. Ao mesmo tempo, a Apple também começou a exigir que os fabricantes de aplicativos fornecessem “rótulos nutricionais de privacidade” que declarassem os tipos de dados de usuários e dispositivos que eles coletam e como esses dados são usados.
Brechas, desvios e violações definitivas
Últimas semanas trabalho de pesquisa disse que, embora a ATT funcione de várias maneiras como pretendido, as brechas na estrutura também forneceram a oportunidade para empresas, principalmente grandes como Google e Fb, contornarem as proteções e armazenarem ainda mais dados. O jornal também alertou que, apesar da promessa da Apple de mais transparência, a ATT pode dar a muitos usuários uma falsa sensação de segurança.
“No geral, nossas observações sugerem que, embora as mudanças da Apple tornem o rastreamento de usuários individuais mais difícil, elas motivam um contra-movimento e reforçam o poder de mercado existente de empresas gatekeeper com acesso a grandes quantidades de dados primários”, escreveram os pesquisadores. “Tornar as propriedades de privacidade dos aplicativos transparentes por meio de análises em larga escala continua sendo um alvo difícil para pesquisadores independentes e um obstáculo importante para proteções de privacidade significativas, responsáveis e verificáveis”.
Os pesquisadores também identificaram nove aplicativos iOS que usaram código do lado do servidor para gerar um identificador mútuo de usuário que uma subsidiária da empresa de tecnologia chinesa Alibaba pode usar para rastreamento entre aplicativos. “O compartilhamento de informações do dispositivo para fins de impressão digital violaria as políticas da Apple, que não permitem que os desenvolvedores ‘derrigem dados de um dispositivo com o objetivo de identificá-lo exclusivamente’”, escreveram os pesquisadores.
Os pesquisadores também disseram que a Apple não é obrigada a seguir a política em muitos casos, possibilitando que a Apple aumente ainda mais o estoque de dados que coleta. Eles também observaram que a Apple também isenta o rastreamento para fins de “obter informações sobre a solvência de um consumidor para o propósito específico de fazer uma determinação de crédito”.
Representantes da Apple e do Alibaba não responderam imediatamente aos e-mails pedindo comentários.
Com base em uma comparação de 1.685 aplicativos publicados antes e depois que a ATT entrou em vigor, o número de bibliotecas de rastreamento usadas permaneceu praticamente o mesmo. As bibliotecas mais usadas, incluindo SKAdNetwork da Apple, Google Firebase Analytics e Google Crashlytics, não mudaram. Quase um quarto dos aplicativos estudados afirmou que não coletava nenhum dado do usuário, mas a maioria deles – 80% – continha pelo menos uma biblioteca de rastreadores.
Em média, a pesquisa descobriu que os aplicativos que alegavam não coletar dados do usuário continham 1,8 bibliotecas de rastreamento e contataram 2,5 empresas de rastreamento. Dos aplicativos que usavam SKAdNetwork, Google Firebase Analytics e Google Crashlytics, mais da metade não divulgou ter acesso aos dados do usuário. O SDK do Fb se saiu um pouco melhor com uma taxa de falha de cerca de 47%.
Habilitando os acumuladores de dados
As discrepâncias não apenas reforçam as limitações do ATT, mas também reforçam o poder do que os pesquisadores chamaram de “gatekeepers” e a opacidade da coleta de dados em geral. Os pesquisadores escreveram:
Nossas descobertas sugerem que as empresas de rastreamento, especialmente as maiores com acesso a grandes tesouros de terceiros, ainda rastreiam os usuários nos bastidores. Eles podem fazer isso por meio de vários métodos, incluindo o uso de endereços IP para vincular IDs específicos de instalação entre aplicativos e por meio da funcionalidade de login fornecida por aplicativos individuais (por exemplo, login do Google ou Fb ou endereço de e-mail). Especialmente em combinação com outras características do usuário e do dispositivo, que nossos dados confirmaram que ainda são amplamente coletados por empresas de rastreamento, seria possível analisar o comportamento do usuário em aplicativos e websites (ou seja, impressões digitais e rastreamento de coorte). Um resultado direto do ATT poderia, portanto, ser que os desequilíbrios de poder existentes no ecossistema de rastreamento digital sejam reforçados.
Nós até encontramos um exemplo actual de Umeng, uma subsidiária da empresa de tecnologia chinesa Alibaba, usando seu código do lado do servidor para fornecer aplicativos com um identificador de aplicativo cruzado derivado de impressão digital… O uso de impressão digital é uma violação da Apple políticas e levanta questões sobre até que ponto a empresa é capaz de fazer cumprir suas políticas. A ATT pode, em última análise, incentivar uma mudança nas tecnologias de rastreamento nos bastidores, para que fiquem fora do alcance da Apple. Em outras palavras, as novas regras da Apple podem levar a uma transparência ainda menor em relação ao rastreamento do que temos atualmente, inclusive para pesquisadores acadêmicos.
Apesar de suas falhas, o ATT continua sendo útil. Não consigo pensar em nenhum benefício actual de permitir que um aplicativo rastreie meu uso de todos os outros aplicativos instalados no meu telefone ao longo de meses ou anos. A maneira mais fácil de aplicar o ATT é acessar as configurações do iOS> Privacidade> Rastreamento e desativar “Permitir que os aplicativos solicitem o rastreamento”. As pessoas que desejam privacidade adicional do iOS devem desinstalar todos os aplicativos que não são mais necessários ou considerar a compra de um aplicativo como o Firewall Guardião. Em última análise, porém, é provável que o rastreamento e a impressão digital do dispositivo permaneçam de alguma forma, mesmo no jardim murado da Apple.
