Geral 3min de Leitura - 06 de julho de 2020

Os aplicativos do Facebook que secretamente compartilham os seus dados

Celular e notebook exibindo a tela inicial do facebook.

This post is also available in: Português

Estudo utiliza e-mails exclusivos para checar os apps e descobre que 16 deles fornecem informações para terceiros. Ainda não se sabe se é de propósito ou por falhas no armazenamento dos dados pessoais dos usuários.

Uma equipe de acadêmicos descreveu um método que pode ajudar a identificar quando os desenvolvedores de aplicativos do Facebook compartilham clandestinamente dados de usuários com terceiros.

Chamada CanaryTrap, a técnica foi detalhada por membros da Universidade de Iowa, nos Estados Unidos, em um estudo publicado com o nome “CanaryTrap: Detectando o Uso Indevido de Dados por Aplicativos de Terceiros em Redes Sociais”.

No fundo, o CanaryTrap é como as contas de honeytoken, que são usadas para interceptar ações mal-intencionadas.

No sentido amplo do termo, os honeytokens são dados ou arquivos falsos que os especialistas em TI plantam em sua rede. Quando os dados são acessados ou usados, os administradores podem detectar atividades maliciosas.

No CanaryTrap, os honeytokens eram endereços de e-mail que os acadêmicos usavam exclusivamente para registrar contas no Facebook. Depois de registrar uma conta, os pesquisadores instalaram um aplicativo do Facebook, usaram por 15 minutos e depois desinstalaram.

Eles então monitoraram a caixa de entrada do e-mail. Se recebesse novos e-mails, ficava claro que o aplicativo compartilhava os dados do usuário com terceiros.

Foram testados exatamente 1.024 apps do Facebook usando a técnica, e descobriu-se que 16 deles compartilhavam endereços de e-mail com terceiros – resultando em usuários recebendo mensagens de remetentes desconhecidos.

Dos 16, apenas nove explicavam que tinham algum relacionamento com quem enviava os emails. Esse relacionamento geralmente era com um site afiliado, ou parceiro de negócios não relacionado. Mas mesmo que os aplicativos explicassem sobre eventuais acordos de compartilhamento de dados, as caixas de entrada geralmente recebiam e-mails com conteúdos de assuntos totalmente desconexos do tema do app.

No entanto, sete aplicativos não divulgaram que eles compartilham dados do usuário com pessoas de fora. Desses sete, a equipe de pesquisa disse que não conseguiu determinar se os desenvolvedores do aplicativo compartilharam dados do usuário com terceiros de propósito, e sem a autorização do usuário, ou se os dados vazaram por conta de problemas com a segurança – por exemplo, um servidor exposto ou uma invasão de hackers.

No entanto, houve um tráfego malicioso de e-mail, disseram os pesquisadores, revelando que, no caso de honeytokens compartilhados por três aplicativos, as caixas de entrada de e-mail recebiam mensagens até mesmo sobre ameaças de abuso sexual, spam e tentativas de golpe para furtar dados de cartões de crédito.

Dezesseis é pouco?

Os autores do estudo disseram que encontraram 16 aplicativos envolvidos nesse comportamento, o que pode parecer pouco. Contudo, a amostra total (1.024 apps) é baixa. Se for maior, os pesquisadores esperam encontrar mais aplicativos compartilhando dados do usuário com terceiros.

Os acadêmicos fizeram a pesquisa em um código-fonte aberto, que será compartilhado. Segundo eles, o motivo é “ajudar os especialistas independentes a detectar o uso indevido de dados compartilhados com aplicativos de terceiros”.

Além disso, a equipe de pesquisa também realizou pesquisas adicionais sobre os 1.024 testados, com as seguintes conclusões:

– 61 aplicativos testados não possuem links para a sua política de privacidade
– 42 apps não responderam às solicitações de exclusão de dados
– 13 continuaram enviando e-mails após confirmar a exclusão de dados

O que diz o Face

Um porta-voz do Facebook foi contatado pelos autores do estudo, e prometeu dar respostas após analisar o artigo do CanaryTrap.

No entanto, a rede social disse estar ciente do seu problema com desenvolvedores de aplicativos não autorizados, e que nos últimos anos tomou medidas para separar o joio do trigo.

No ano passado, o Facebook processou vários desenvolvedores, e modificou seus termos de serviço e políticas de desenvolvedor para conceder mais poder na imposição de controles rígidos de dados do usuário.

A última mudança na luta do Facebook contra os abusos pelos desenvolvedores de aplicativos ocorreu há poucos dias. Foi quando anunciou seu mais recente conjunto de atualizações aos Termos da plataforma e às Políticas do desenvolvedor, como data para entrar em vigor em 31 de agosto deste ano.

A empresa disse que os novos termos limitam as informações que os desenvolvedores podem compartilhar com terceiros sem receber o consentimento explícito dos usuários. Também garantem que os desenvolvedores entendam claramente que têm a responsabilidade de proteger os dados das pessoas – se explorarem a plataforma e a base de usuários do Facebook para criar seus próprios negócios. Teoricamente, essas novas mudanças abordam as brechas relatadas pela equipe do CanaryTrap.

A equipe de pesquisa pretende apresentar seu trabalho ainda este ano na conferência anual do Privacy Enhancing Technologies Symposium (PETS). Até lá, espera que os 16 continuem sendo uma minoria que, apesar de incômoda, seja uma exceção que pouco se multiplique.

This post is also available in: Português