Como os fabricantes de smartphones rastreiam os usuários

Um estudo recente mostra que mesmo smartphones Android “limpos” coletam muitas informações sobre seus proprietários.

Os aplicativos do sistema – instalados por padrão no smartphone e geralmente não removíveis – tendem a ficar fora dos holofotes. Mas enquanto com outros aplicativos e serviços os usuários têm pelo menos alguma escolha, neste caso, os recursos de rastreamento e vigilância são costurados na própria estrutura dos dispositivos.

O texto acima representa algumas conclusões de um recente estudo em conjunto de pesquisadores da Universidade de Edimburgo, no Reino Unido, e do Trinity College Dublin, na Irlanda. Eles examinaram smartphones de quatro fornecedores conhecidos para descobrir a quantidade de informações que eles transmitem. Como ponto de referência, eles compararam os resultados com sistemas operacionais de código aberto baseados em Android, LineageOS e / e / OS. Eis o que eles encontraram

Método de pesquisa

Para a pureza do experimento, os pesquisadores estabeleceram um cenário operacional bastante estrito para os quatro smartphones, que os usuários provavelmente nunca encontrarão na vida real: eles presumiram que cada smartphone seria usado apenas para chamadas e mensagens de texto; os pesquisadores não adicionaram nenhum aplicativo; apenas aqueles instalados pelo fabricante permaneceram nos dispositivos.

Além do mais, o usuário imaginário respondeu negativamente a todas as perguntas do tipo “Você quer melhorar o serviço encaminhando dados” que os usuários normalmente precisam responder na primeira vez que ligam o dispositivo. Eles não ativaram nenhum serviço opcional do fabricante, como armazenamento em nuvem ou Find My Device. Em outras palavras, eles mantiveram os smartphones o mais privados e no estado mais puro possível durante todo o estudo.

A tecnologia básica de “rastreamento de espiões” é a mesma em todas essas pesquisas. O smartphone se conecta a um minicomputador Raspberry Pi, que atua como um ponto de acesso Wi-Fi. O software instalado no Raspberry Pi intercepta e descriptografa o fluxo de dados do telefone. Os dados são criptografados novamente e entregues ao destinatário – o desenvolvedor do telefone, aplicativo ou sistema operacional. Em essência, os autores do artigo realizaram um ataque man-in-the-middle (benevolente).

O esquema usado no estudo para interceptar dados transmitidos por smartphones

O esquema usado no estudo para interceptar dados transmitidos por smartphones. Source

A boa notícia é que todos os dados transmitidos foram criptografados. A indústria finalmente parece ter superado sua praga de dispositivos, programas e servidores que se comunicam em texto não criptografado, sem qualquer proteção. Na verdade, os pesquisadores gastaram muito tempo e esforço decifrando e analisando os dados para descobrir o que exatamente estava sendo enviado.

Depois disso, os pesquisadores navegaram com relativa suavidade. Eles apagaram completamente os dados em cada dispositivo e executaram a configuração inicial. Então, sem fazer login em uma conta do Google, eles deixaram cada smartphone ligado por alguns dias e monitoraram a transferência de dados dele. Em seguida, eles fizeram login usando uma conta do Google, ativaram temporariamente a geolocalização e acessaram as configurações do telefone. Em cada etapa, eles monitoraram quais dados foram enviados e para onde. Eles testaram um total de seis smartphones: quatro com o firmware do fabricante e dois com as versões de código aberto LineageOS e /e/ OS do Android.

Quem coleta os dados?

Para surpresa de ninguém, os pesquisadores descobriram que os fabricantes de smartphones eram os principais colecionadores de dados. Todos os quatro dispositivos que executam o firmware original (e um conjunto de programas pré-instalados) encaminharam dados de telemetria, junto com identificadores, como o número de série do dispositivo, para o fabricante. Aqui, os autores do artigo delineiam o firmware padrão das compilações personalizadas.

Por exemplo, o LineageOS tem a opção de enviar dados aos desenvolvedores (para monitorar a estabilidade operacional dos programas, por exemplo), mas desabilitar a opção interrompe a transmissão de dados. Em dispositivos com o padrão de fábrica, bloquear o envio de dados durante a configuração inicial pode realmente reduzir  a quantidade de dados enviados, mas não descarta totalmente a transmissão de dados.

Os próximos a receber dados são os desenvolvedores de aplicativos pré-instalados. Aqui também encontramos uma nuance interessante: de acordo com as regras do Google, os aplicativos instalados do Google Play devem usar um determinado identificador para rastrear a atividade do usuário – o Google Advertising ID (ID de publicidade do Google). Se desejar, você pode alterar esse identificador nas configurações do telefone. No entanto, o requisito não se aplica a aplicativos pré-instalados pelo fabricante – que os usam para coletar muitos dados.

Por exemplo, um aplicativo de rede social pré-instalado envia dados sobre o proprietário do telefone para seus próprios servidores, mesmo se esse proprietário nunca o tiver aberto. Um exemplo mais interessante: o teclado do sistema em um smartphone enviou dados sobre quais aplicativos estavam sendo executados no telefone. Vários dispositivos também vêm com aplicativos de operadora que também coletam informações relacionadas ao usuário.

Por fim, os aplicativos do sistema do Google merecem uma menção separada. A grande maioria dos telefones vem com o Google Play Services e a Google Play Store e, geralmente, o YouTube, Gmail, Maps e alguns outros já instalados. Os pesquisadores observam que os aplicativos e serviços do Google coletam muito mais dados do que qualquer outro programa pré-instalado. O gráfico abaixo mostra a proporção de dados enviados ao Google (à esquerda) e a todos os outros destinatários de telemetria (à direita):

Quantidade de dados transferidos em kilobytes por hora para diferentes destinatários de informações do usuário

Quantidade de dados transferidos em kilobytes por hora para diferentes destinatários de informações do usuário. Em média, o Google (à esquerda) envia dezenas de vezes mais dados do que todos os outros serviços combinados. Source

Quais dados são enviados?

Nesta seção, os pesquisadores novamente se concentram nos identificadores. Todos os dados possuem algum tipo de código único para identificar o remetente. Às vezes, é um código único, que para privacidade é a maneira correta de coletar as estatísticas – por exemplo, sobre a estabilidade operacional do sistema – que os desenvolvedores consideram útil.

Mas também existem identificadores de longo prazo e até mesmo persistentes que violam a privacidade do usuário, que também são coletados. Por exemplo, os proprietários podem alterar manualmente o ID de publicidade do Google mencionado acima, mas muito poucos o fazem, então podemos considerar o identificador, que é enviado ao Google e aos fabricantes do dispositivo, quase certo.

O número de série do dispositivo, o código IMEI do módulo de rádio e o número do cartão SIM são identificadores persistentes. Com o número de série do dispositivo e o código IMEI, é possível identificar o usuário mesmo após a alteração do número do telefone e a reinicialização completa do dispositivo.

A transferência regular de informações sobre o modelo do dispositivo, tamanho da tela e versão do firmware do módulo de rádio é menos arriscada em termos de privacidade; esses dados são os mesmos para um grande número de proprietários do mesmo modelo de telefone. Mas os dados de atividade do usuário em certos aplicativos podem revelar muito sobre os proprietários.Os pesquisadores discutiram sobre a linha tênue entre os dados necessários para a depuração de aplicativos e as informações que podem ser usadas para criar um perfil de usuário detalhado, como para anúncios direcionados.

Por exemplo, saber que um aplicativo está consumindo a bateria pode ser importante para o desenvolvedor e, em última análise, beneficiará o usuário. Os dados sobre quais versões dos programas do sistema estão instaladas podem determinar quando baixar uma atualização, o que também é útil. Mas se a coleta de informações sobre os horários exatos de início e término das chamadas vale a pena, ou se é ético, permanece em dúvida.

Outro tipo de dados do usuário relatado com frequência é a lista de aplicativos instalados. Essa lista pode dizer muito sobre o usuário, incluindo, por exemplo, preferências políticas e religiosas.

Combinando dados dos usuários de diferentes fontes

Apesar do trabalho minucioso, os pesquisadores não conseguiram obter uma imagem completa de como vários fornecedores de telefones e softwares coletam e processam os dados do usuário. Eles tiveram que fazer algumas suposições.

Premissa um: os fabricantes de smartphones que coletam identificadores persistentes podem rastrear a atividade do usuário, mesmo que o usuário apague todos os dados do telefone e substitua o cartão SIM.

Premissa dois: todos os participantes do mercado têm a capacidade de trocar dados e, ao combinar IDs permanentes e temporários, além de diferentes tipos de telemetria, criar a imagem mais completa possível dos hábitos e preferências dos usuários. Como isso realmente acontece – e se os desenvolvedores realmente trocam dados ou os vendem para agregadores terceirizados – está além do escopo do estudo.

Os pesquisadores especulam sobre a possibilidade de combinar conjuntos de dados para criar um perfil completo do proprietário do smartphone

Os pesquisadores especulam sobre a possibilidade de combinar conjuntos de dados para criar um perfil completo do proprietário do smartphone (gaid significa Google Advertising ID ). Source

Conclusões

O vencedor nominal em termos de privacidade acabou sendo o telefone com a variante Android / e / OS, que usa seu próprio análogo do Google Play Services e não transmitia nenhum dado. O outro telefone com firmware de código aberto (LineageOS) enviava informações não para os desenvolvedores, mas para o Google, pois os serviços deste último estavam instalados naquele telefone. Esses serviços são necessários para que o dispositivo funcione corretamente – alguns aplicativos e muitos recursos simplesmente não funcionam, ou funcionam mal, sem o Google Play Services.

Quanto ao firmware primário de fabricantes populares, há pouco para dizer. Todos eles coletam um conjunto bastante grande de dados, citando o cuidado do usuário como o motivo. Eles essencialmente ignoram a opção dos usuários de coletar e enviar “dados de uso”, observam os autores. Apenas mais regulamentações para garantir maior privacidade do consumidor podem mudar essa situação e, por enquanto, apenas usuários avançados que podem instalar um sistema operacional não padrão (com restrições ao uso de software popular) podem eliminar a telemetria completamente.

Quanto à segurança, a coleta de dados de telemetria não parece representar nenhum risco direto. A situação é radicalmente diferente dos smartphones de segunda linha, nos quais o malware pode ser instalado diretamente na fábrica.

A boa notícia do estudo é que a transmissão de dados é bastante segura, o que pelo menos dificulta o acesso de terceiros. Os pesquisadores especificaram uma particularidade importante: eles testaram modelos de smartphones europeus com software localizado. Em outros lugares, dependendo das leis e regulamentos de privacidade, as situações podem ser diferentes.

Dicas