Como o Facebook rastreia usuários não-usuários por meio de aplicativos Android
O Facebook acompanha os usuários do Android por meio de aplicativos, mesmo que eles não sejam usuários do Facebook.
LEIPZIG, ALEMANHA - Se você sair do Facebook ou nunca ingressou por causa de suas práticas de coleta de dados, as chances são boas de que a rede social ainda esteja rastreando você - apesar do seu protesto.
O Facebook coleta dados de não usuários de sua rede social por meio de dezenas de aplicativos Android principais que enviam informações pessoais e de rastreamento de volta à rede social. Algumas das dezenas de aplicativos que compartilham dados com o Facebook incluem Kayak , Yelp e Shazam , de acordo com um relatório apresentado pela Privacy International no sábado, aqui no 35C3.
“O Facebook monitora rotineiramente usuários, não usuários e usuários desconectados de sua plataforma através do Facebook Business Tools”, segundo o relatório. “Os desenvolvedores de aplicativos compartilham dados com o Facebook através do Kit de Desenvolvimento de Software (SDK) do Facebook.”
A Privacy International examinou 34 aplicativos Android, cada um com uma base de instalação de 10 a 500 milhões, e descobriu que eles transmitiam dados através do SDK para o Facebook. Os dados compartilhados com o Facebook variam por aplicativo. O caiaque, por exemplo, envia ao Facebook todos os dados de busca realizados através de seu aplicativo, de acordo com pesquisadores. Um aplicativo da Bíblia King James compartilhou a passagem e verso visto pelo usuário do aplicativo.
Pesquisadores disseram que a maioria dos aplicativos compartilha dados como o fato de o aplicativo ser usado, quando o aplicativo é aberto e fechado, o dispositivo Android sendo usado e a localização inferida do usuário com base nas configurações de idioma e fuso horário, de acordo com pesquisadores.
Parte dos dados confidenciais compartilhados com o Facebook é o uso do próprio aplicativo. Por exemplo, os aplicativos que compartilham dados incluem um rastreador de período das mulheres, aplicativos de oração, aplicativos de busca de emprego e aplicativos apropriados para crianças pequenas. Outros dados encontrados compartilhados por aplicativos através do SDK do Facebook são chamados de “classificações de usuários”, IDs de sessão e variáveis de dados adicionais.
O Facebook, a Privacy International aponta, é apenas uma das centenas de empresas de rastreamento que coletam dados que são usados por empresas de marketing on-line que selecionam informações de usuários para criar enormes dossiês digitais sobre os usuários. O Facebook é o segundo maior de tais empresas de rastreamento na internet depois do Google.
“A razão pela qual nos concentramos no Facebook, e não no Google ou em qualquer outra empresa de rastreamento, é porque o fato de aplicativos - como um rastreador de período ou uma lanterna LED [app] - compartilharem dados com o Facebook será uma surpresa para muitos. pessoas. E, especialmente para aqueles que tomaram uma decisão consciente de não estar no Facebook ”, disse Frederike Kaltheuner, pesquisador da Privacy International, durante sua palestra no sábado.
As principais conclusões do exame da Privacy Internationals sobre os 34 aplicativos incluem 61% dos aplicativos testados transferem dados automaticamente para o Facebook no momento em que o usuário abre o aplicativo. Alguns aplicativos rotineiramente enviam dados do Facebook que são incrivelmente detalhados e às vezes sensíveis de pessoas que estão desconectadas do Facebook ou que não têm uma conta no Facebook.
“Obviamente, nos concentramos apenas nos dados que os aplicativos transmitem. No entanto, o que não podemos dizer é definitivamente como os dados estão sendo usados ”, disse Kaltheuner.
Christopher Weatherhead, pesquisador da Privacy International, disse que o foco de sua pesquisa não é culpar os desenvolvedores de aplicativos. “Não estamos aqui para criticar os desenvolvedores pelo modo como eles criam seus aplicativos. Isso é tudo sobre o SDK e a maneira como ele transmite dados com ou sem o consentimento do usuário ”, disse ele.
O SDK do Facebook para Android atende a muitos propósitos. Ele permite que os desenvolvedores de aplicativos integrem seus aplicativos à plataforma do Facebook. Ele também contém vários componentes úteis para desenvolvedores de aplicativos, como análise de usuários, a capacidade de exibir anúncios e permite que um usuário faça login em um serviço com o ID do Facebook.
Quando a Privacy International perguntou ao Facebook sobre o uso de seu SDK, a rede social apontou que os desenvolvedores eram responsáveis por configurar os aplicativos para compartilhar ou não compartilhar dados.
"O Facebook impõe uma obrigação legal e contratual ao desenvolvedor que ele vê como o controlador de dados para obter o consentimento que é exigido dos usuários antes de compartilhar dados com o Facebook pelo SDK", disse Kaltheuner.
Quando o Threatpost pediu comentários sobre este relatório, um porta-voz respondeu com uma declaração:
“A ferramenta SDK do Facebook significa que os desenvolvedores podem escolher coletar eventos do aplicativo automaticamente, não coletá-los, ou atrasar a coleta deles até que o consentimento seja obtido, dependendo de suas circunstâncias particulares. Também exigimos que os desenvolvedores garantam que tenham uma base legal apropriada para coletar e processar as informações dos usuários. Por fim, fornecemos orientações aos desenvolvedores sobre como cumprir nossos requisitos a esse respeito ”.
Mas, o Facebook reconheceu à Privacy International que a maioria dos desenvolvedores usava as configurações padrão do SDK, que é compartilhar os dados no segundo em que um aplicativo é lançado. Esse comportamento gerou discussões entre os desenvolvedores a partir de maio, quando foram forçados a cumprir a nova lei do Regulamento Geral de Proteção de Dados, que exige permissão explícita e inequívoca antes de coletar dados do usuário.
Em resposta, o Facebook lançou um novo recurso em seu SDK em junho que atrasa o que chama de "registro automático de eventos", o que dá aos desenvolvedores mais flexibilidade para desativar o recurso ou solicitar permissão ao usuário para coletar dados. No entanto, mesmo com as alterações feitas pelo Facebook, o SDK continua enviando um sinal de que o SDK foi inicializado quando aplicativos individuais são abertos, mesmo se o compartilhamento de dados do SDK estiver desativado.
"O sinal de que o SDK foi inicializado, são dados que dão ao [Facebook] uma forte indicação do tipo de aplicativo que alguém usa e quando o usa - tudo combinado com um ID de usuário", disse Kaltheuner. Se esta coleta de dados está em conformidade com o GDPR e outras leis de privacidade é uma questão em aberto, de acordo com a Privacy International.
A Privacy International está defendendo novas mudanças pelo Facebook e uma maior conscientização entre os desenvolvedores para transmitir a menor quantidade de dados necessários e dar às pessoas mais opções em quais dados são coletados a partir delas.
"A questão [para os desenvolvedores] é, você realmente precisa integrar o SDK e, se integrar, pode fazê-lo seletivamente", disse Kaltheuner. “Você não deve presumir que a implementação padrão é conformidade. E, sempre que você fizer isso, será muito justo e transparente para os usuários saber exatamente como você está coletando dados. ”
As respostas dos desenvolvedores de aplicativos reagindo ao estudo da Privacy Internationals variaram.
“Alguns, tivemos a impressão de não entender completamente o SDK e o que o SDK faz. Outros tinham uma interpretação muito diferente do que deveriam fazer legalmente. Outros realmente não perceberam que isso está acontecendo e prometeram atualizar seu aplicativo ”, disse Kaltheuner.
Dois aplicativos quando notificados - o Skyscanner e o The Weather Channel da IBM - concordaram em fazer alterações imediatas no uso do Facebook SDK.