Facebook pagava para jovens usarem app de coleta de dados; Apple bane [atualizado]

Este ano começou para o Facebook assim como 2018 terminou: envolto de polêmicas sobre privacidade de usuários e o manuseio de dados pessoais. Desta vez, no entanto, a empresa de Mark Zuckerberg conseguiu ir além, driblando até mesmo as diretrizes da App Store para oferecer um “programa” de coleta de dados. E seu deu mal. Isso porque a Apple resolveu banir o aplicativo de pesquisa do Facebook, como informou o Recode.

Em declaração, a empresa informou que “projetou o Developer Enterprise Program exclusivamente para a distribuição interna de aplicativos de uma organização”, e que “o Facebook tem usado seus membros para distribuir um aplicativo de coleta de dados para os consumidores, o que é uma clara violação do seu acordo com a Apple.” A empresa foi além, afirmando ainda que “qualquer desenvolvedor usando seus certificados corporativos para distribuir aplicativos para os consumidores terá seus certificados revogados, que foi o que fizemos neste caso para proteger nossos usuários e seus dados.”

Como tudo começou

Para entender a gravidade do caso mais recente, é necessário voltar alguns meses, mais precisamente em agosto passado. Naquela época, a Apple proibiu que aplicativos criassem bases de dados com informações pessoais de usuários e compartilhassem (ou vendessem) essas informações; entre os alvos dessa regra, estava o app de VPN1 Onavo Protect, adquirido pelo Facebook no fim de 2013 — foi por ele, por exemplo, que a empresa de Zuckerberg conseguia analisar a expressividade do WhatsApp (comprando-o no ano seguinte).

Após a descoberta do verdadeiro “abatedouro” de dados que o Facebook tinha criado através do app Onavo, a Apple pediu que a empresa removesse-o da App Store, alegando que o software estava violando suas políticas de coleta de dados. Dito e feito? Não exatamente. De fato, o app Onavo Protect foi removido da App Store, mas o que ninguém esperava é que o Facebook tinha uma carta na manga para continuar com seu programa de coleta de dados.

Facebook Research

Isso nos leva à atual polêmica. Desde 2016, o Facebook pagava para que usuários instalassem o app Facebook Research nos seus dispositivos iOS e Android, como informou o TechCrunch. Os participantes dessa “pesquisa” tinham entre 13 e 35 anos e recebiam cerca de US$20 (R$74) por mês pela sua privacidade (como você verá a seguir). O programa é administrado pelas empresas de testes Applause, BetaBound e uTest, que encobriam o envolvimento do Facebook, e também era referido em algumas documentações como “Projeto Atlas” — também para despistar a fiscalização.

Instalação do Facebook Research

Como o aplicativo funciona de maneira semelhante ao Onavo Protect (direcionando, inclusive, os dados para um endereço associado a ele), o Facebook fez algo ultrajante: por meio de um certificado corporativo, o usuário podia baixar o app Facebook Research sem acessar a App Store e indicar pessoalmente outros usuários a fazerem o mesmo — definitivamente burlando uma das diretrizes da loja de aplicativos da Apple e do Google. Depois de instalado, o app pedia permissão para acessar praticamente todas as informações que você possa imaginar: mensagens, fotos, vídeos, dados de navegação e de localização, entre outros (o Facebook chegou a exigir capturas de tela que exibissem o histórico de compras dos usuários da Amazon).

Ao instalar o software, você concede aos nossos clientes a permissão para coletar dados do seu telefone para ajudá-los a entender como você navega na internet e como você usa os recursos dos aplicativos que você instalou… isso significa que você está permitindo que nosso cliente colete informações como quais aplicativos estão no seu telefone, como e quando você os usa, dados sobre suas atividades e conteúdo nesses aplicativos, além de como outras pessoas interagem com você ou com seu conteúdo online. Você também está permitindo que nosso cliente colete informações sobre sua atividade de navegação na internet (incluindo os sites que você visita e os dados que são trocados entre seu dispositivo e esses sites) e seu uso de outros serviços online. Há alguns casos em que nosso cliente coletará essas informações mesmo quando o aplicativo usar criptografia ou em sessões seguras do navegador.

Ainda não está claro se o Facebook coletava todos esses dados, mas segundo o especialista em segurança online Will Strafach, a empresa poderia facilmente visualizá-los e fazer o que bem entendesse com eles. Nos casos de usuários com menos de 18 anos, o TechCrunch afirmou que um responsável deveria autorizar a participação desse jovem no programa, mas isso era algo bem simples de burlar.

Eu pensei que veria o quão robusto o controle parental para o programa do Facebook é. Em menos de cinco minutos consegui me inscrever como um garoto de 14 anos… com dois filhos. Não exigiram nenhuma prova de consentimento dos pais. Acabei de receber um link para fazer o download do aplicativo para iOS.

A resposta do Facebook

Em resposta à denúncia do TechCrunch, um porta-voz do Facebook confirmou a execução desse programa e disse que ele possui como objetivo “saber como as pessoas usam seus telefones e outros serviços”.

Como muitas empresas, convidamos as pessoas a participarem de pesquisas que nos ajudam a identificar o que podemos fazer melhor. Como esta pesquisa visa ajudar o Facebook a entender como as pessoas usam seus dispositivos móveis, fornecemos informações abrangentes sobre o tipo de dados que coletamos e como eles podem participar. Não compartilhamos essas informações com outras pessoas e as pessoas podem parar de participar a qualquer momento.

O mesmo representante do Facebook disse que o Onavo e o Facebook Research são programas separados, mas admitiu que a mesma equipe apoia e desenvolve ambos os serviços e que, por isso, eles são tão similares. Quanto ao método de instalação do aplicativo, o porta-voz afirmou que o Facebook “não viola a política de certificado corporativo da Apple”, mas é contrariado pelos próprios termos dessas diretrizes, os quais explicam que desenvolvedores não podem “usar, distribuir ou disponibilizar seus aplicativos internos aos seus clientes a menos esses estejam sob supervisão direta de funcionários ou nas instalações da empresa” — o que definitivamente não é o caso.

Em um outro comunicado enviado para o Gizmodo, o Facebook afirmou que o programa está sob as leis das plataformas nas quais é usado e que tais alegações “deturparam” a sua execução.

Fatos importantes sobre este programa de pesquisa de mercado estão sendo ignorados. Apesar dos primeiros relatos, não há nenhum “segredo” sobre isso; ele é chamado Facebook Research App. Não foi feito para “espionar” todas as pessoas que participam dele, que são perguntadas se querem participar e que são pagas por isso. Por fim, menos de 5% das pessoas que escolheram participar desta pesquisa de mercado são adolescentes. Todos eles com formulários de consentimento dos seus pais.

Mas o Facebook deu o braço a torcer e emitiu uma nova nota explicando que não só removeria o app Facebook Research para iOS, mas acabaria com o Projeto Atlas — provavelmente já se antecipando ao fato de saber que a Apple baniria o app.

A repercussão

Para Strafach, esse é o “comportamento mais desafiador feito por um desenvolvedor da App Store”.

Este é o comportamento mais desafiador que eu já vi de um desenvolvedor da App Store. É alucinante. Essa foi uma ótimo investigação do @JoshConstine — eu ainda não sei como articular melhor o quão absolutamente chocado estou pelo Facebook pensando que eles podem se safar dessa.

Mais uma vez, o Facebook pisou na bola e mostrou que pode passar por cima de qualquer coisa para conseguir dados e mais informações pessoais dos seus usuários — o que é uma pena, realmente.

via Manual do Usuário

Atualização, por Eduardo Marques 30/01/2019 às 14:02

Alguns podem pensar que a resposta da Apple não foi à altura da violação do Facebook, mas a atitude foi bem séria.

Isso porque a revogação de um certificado não só impede a distribuição de aplicativos para iOS, mas também impede que tais apps funcionem. E como os aplicativos internos de uma mesma empresa ou desenvolvedor podem estar conectados a um único certificado, isso pode levar a enormes problemas. Exemplo: as compilações de testes de aplicativos como Facebook, Facebook Messenger, Instagram e WhatsApp Messenger, distribuídas internamente no Facebook (para que os empregados testem os apps), simplesmente não funcionam como deveriam, como informou o The Verge.

O Facebook está tratando isso como um problema crítico internamente, segundo nos dizem, já que os aplicativos afetados simplesmente não são abertos nos telefones dos funcionários.

[…] Isso representa um grande problema para o Facebook. Enquanto a Apple fornece outras ferramentas que empresas podem usar para instalar aplicativos internamente, o programa corporativo da Apple é a principal solução para distribuir amplamente aplicativos e serviços internos.

Para o desenvolvedor Steve Troughton-Smith, a atitude da Apple é contundente:

Considerando o tempo que levaria para obter um novo certificado corporativo, se ele for aceito, isso poderia realmente estragar o funcionamento interno do Facebook se todos os seus aplicativos e betas internos do iOS pararem de funcionar.

É como se você confiasse no Google Apps para executar internamente tudo na sua empresa e o Google revogasse a sua conta principal indefinidamente porque você violou alguma regra. Você pode imaginar como isso seria catastrófico.

Imagine como não estão as coisas no lá dentro do Facebook, neste momento…

Taggeado:

Posts relacionados

Comentários