O Facebook rastreia usuários do Android, mesmo que não sejam usuários do Facebook

02/01/2019 mindsecblog LGPD & PRIVACY, Notícias 1

O Facebook rastreia usuários do Android, mesmo que não sejam usuários do Facebook. Se você sair do Facebook ou nunca ingressou por causa de suas práticas de coleta de dados, as chances são boas de que a rede social ainda esteja rastreando você – apesar do seu protesto.

“O Facebook monitora rotineiramente usuários, não usuários e usuários desconectados de sua plataforma através do Facebook Business Tools

A Privacy International tem investigado a proliferação de rastreamento de dados, corretagem e troca entre muitas empresas de tecnologia, tanto como seus principais negócios quanto serviços de valor agregado.

Facebook rotineiramente rastreia usuários, não usuários e usuários desconectados fora de sua plataforma através do Facebook Business Tools. Os desenvolvedores de aplicativos compartilham dados com o Facebook por meio do Kit de Desenvolvimento de Software do Facebook (SDK), um conjunto de ferramentas de desenvolvimento de software que ajuda os desenvolvedores a criar aplicativos para um sistema operacional específico. Usando a ferramenta de software livre e de código aberto chamada “mitmproxy“, um proxy HTTPS interativo, a Privacy International analisou os dados que vários aplicativos Android transmitem para o Facebook através do Facebook SDK.

O Facebook coleta dados de não usuários de sua rede social por meio de dezenas de aplicativos Android principais que enviam informações pessoais e de rastreamento de volta à rede social. Algumas das dezenas de aplicativos que compartilham dados com o Facebook incluem Trip Advisory Hotels, Spotify e The Weather Channel, de acordo com um relatório apresentado pela Privacy International.

A Privacy International examinou 34 aplicativos Android, cada um com uma base de instalação de 10 a 500 milhões, e descobriu que eles transmitiam dados através do SDK para o Facebook. Os dados compartilhados com o Facebook variam por aplicativo.

Principais conclusões
  • A Privacy International descobriu que pelo menos 61% dos aplicativos testados transferem dados automaticamente para o Facebook no momento em que o usuário abre o aplicativo. Isso acontece se as pessoas têm uma conta no Facebook ou não, ou se estão logadas no Facebook ou não.
  • Também descobriu que alguns aplicativos rotineiramente enviam dados do Facebook que são incrivelmente detalhados e, às vezes, sensíveis. Mais uma vez, isso diz respeito a dados de pessoas que estão desconectadas do Facebook ou que não têm uma conta no Facebook.

Pesquisadores disseram que a maioria dos aplicativos compartilha dados como o fato de o aplicativo ser usado, quando o aplicativo é aberto e fechado, o dispositivo Android sendo usado e a localização inferida do usuário com base nas configurações de idioma e fuso horário, segundo os pesquisadores.

Parte dos dados confidenciais compartilhados com o Facebook é o uso do próprio aplicativo. Por exemplo, os aplicativos que compartilham dados incluem um rastreador de período feminino, aplicativos de oração, aplicativos de pesquisa de emprego e aplicativos apropriados para crianças pequenas. Outros dados encontrados compartilhados por aplicativos através do SDK do Facebook são chamados de “classificações de usuários”, IDs de sessão e variáveis ​​de dados adicionais.

O Facebook, a Privacy International aponta, é apenas uma das centenas de empresas de rastreamento que coletam dados que são usados ​​por empresas de marketing on-line que selecionam informações de usuários para criar enormes dossiês digitais sobre os usuários. O Facebook é o segundo maior de tais empresas de rastreamento na internet depois do Google.

Alguns aplicativos rotineiramente enviam dados do Facebook que são incrivelmente detalhados e às vezes sensíveis de pessoas que estão desconectadas do Facebook ou que não têm uma conta no Facebook.”

A razão pela qual nos concentramos no Facebook, e não no Google ou em qualquer outra empresa de rastreamento, é porque o fato de aplicativos – como um rastreador de período ou uma lanterna LED [app] – compartilharem dados com o Facebook será uma surpresa para muitos. pessoas. E, especialmente para aqueles que tomaram uma decisão consciente de não estar no Facebook ”, disse Frederike Kaltheuner, pesquisador da Privacy International, durante sua palestra informa o site Threatpost .

As principais conclusões do exame da Privacy Internationals sobre os 34 aplicativos incluem 61% dos aplicativos testados transferem dados automaticamente para o Facebook no momento em que o usuário abre o aplicativo. Alguns aplicativos rotineiramente enviam dados do Facebook que são incrivelmente detalhados e às vezes sensíveis de pessoas que estão desconectadas do Facebook ou que não têm uma conta no Facebook.

A análise de aplicativos individuais pode ser encontrada no site da Privacy International.

Obviamente, nos concentramos apenas nos dados que os aplicativos transmitem. No entanto, o que não podemos dizer é definitivamente como os dados estão sendo usados ​​”, disse Kaltheuner.

Christopher Weatherhead, pesquisador da Privacy International, disse que o foco de sua pesquisa não deve culpar os desenvolvedores de aplicativos. “Não estamos aqui para criticar os desenvolvedores pelo modo como eles criam seus aplicativos. Isso é tudo sobre o SDK e a maneira como ele transmite dados com ou sem o consentimento do usuário ”, disse ele.

O SDK do Facebook para Android atende a muitos propósitos. Ele permite que os desenvolvedores de aplicativos integrem seus aplicativos à plataforma do Facebook. Ele também contém vários componentes úteis para desenvolvedores de aplicativos, como análise de usuários, a capacidade de exibir anúncios e permite que um usuário faça login em um serviço com o ID do Facebook.

Quando a Privacy International perguntou ao Facebook sobre o uso de seu SDK, a rede social apontou que os desenvolvedores eram responsáveis ​​por configurar os aplicativos para compartilhar ou não compartilhar dados.

O Facebook impõe uma obrigação legal e contratual ao desenvolvedor que ele vê como o controlador de dados para obter o consentimento que é exigido dos usuários antes de compartilhar dados com o Facebook pelo SDK“, disse Kaltheuner.

Quando o Threatpost pediu comentários sobre este relatório, um porta-voz respondeu com uma declaração:

A ferramenta SDK do Facebook significa que os desenvolvedores podem escolher coletar eventos do aplicativo automaticamente, não coletá-los, ou atrasar a coleta deles até que o consentimento seja obtido, dependendo de suas circunstâncias específicas. Também exigimos que os desenvolvedores garantam que tenham uma base legal apropriada para coletar e processar as informações dos usuários. Por fim, fornecemos orientações aos desenvolvedores sobre como cumprir nossos requisitos a esse respeito ”.

Mas, o Facebook reconheceu à Privacy International que a maioria dos desenvolvedores usava as configurações padrão do SDK, que é compartilhar os dados no segundo em que um aplicativo é aberto. Esse comportamento gerou discussões entre desenvolvedores a partir de maio, quando foram forçados a cumprir a nova lei de Regulamentação Geral de Proteção de Dados que exigem permissão explícita e não ambígua antes de coletar dados do usuário.

Em resposta, o Facebook lançou um novo recurso em seu SDK em junho que atrasa o que chama de “registro automático de eventos”, o que dá aos desenvolvedores mais flexibilidade para desativar o recurso ou solicitar permissão ao usuário para coletar dados. No entanto, mesmo com as alterações feitas pelo Facebook, o SDK continua enviando um sinal de que o SDK foi inicializado quando aplicativos individuais são abertos, mesmo se o compartilhamento de dados do SDK estiver desativado.

O sinal de que o SDK foi inicializado, são dados que dão ao [Facebook] uma forte indicação de que tipo de aplicativos alguém usa e quando o usam – tudo combinado com um ID de usuário“, disse Kaltheuner. Se esta coleta de dados está em conformidade com o GDPR e outras leis de privacidade é uma questão em aberto, de acordo com a Privacy International.

A Privacy International está defendendo novas mudanças pelo Facebook e uma maior conscientização entre os desenvolvedores para transmitir a menor quantidade de dados necessários e dar às pessoas mais opções em quais dados são coletados a partir delas.

A questão [para os desenvolvedores] é, você realmente precisa integrar o SDK e, se integrar, pode fazê-lo seletivamente“, disse Kaltheuner. “Você não deve presumir que a implementação padrão é conformidade. E, sempre que você fizer isso, será muito justo e transparente para os usuários saber exatamente como você está coletando dados.

As respostas dos desenvolvedores de aplicativos reagindo ao estudo da Privacy Internationals variaram.

Algumas pessoas tiveram a impressão de não entender completamente o SDK e o que o SDK faz. Outros tinham uma interpretação muito diferente do que deveriam fazer legalmente. Outros, na verdade, não perceberam que isso está acontecendo e prometeram atualizar o aplicativo “, disse Kaltheuner.

Dois aplicativos quando notificados – o Skyscanner e o The Weather Channel da IBM – concordaram em fazer alterações imediatas no uso do SDK do Facebook

fonte : Threatpost  & Privacy International

Veja também:



Sobre mindsecblog 2571 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube Linkedin

Artigos Relacionados

1 Trackback / Pingback

  1. PASTEBIN - Certisign Pwned by sup3rm4n

Deixe sua opinião!