Mas, como todas as tecnologias que coletam dados pessoais, elas podem ser usadas de forma abusiva. Casos semelhantes levaram a uma pesquisa liderada por autores espanhóis, que será apresentada na prestigiosa conferência Pets Privacy, em Washington (EUA), a partir de 14 de julho. Esta pesquisa explora como alguns aplicativos exploram as permissões de Bluetooth e Wi-Fi para rastrear nossa localização em ambientes fechados ou a de usuários que não habilitam o GPS para esse fim. Tecnicamente, não é segredo que essas antenas podem rastrear quais telefones estão passando por perto. A novidade nesta pesquisa é o ecossistema oculto daqueles que extraem essas informações, oculto em milhares de aplicativos para colocar anúncios sobre nós, criar nosso perfil ou simplesmente rastrear nosso paradeiro o tempo todo.

“Existem muitos usos misteriosos”, diz Juan Tapiador, coautor do artigo e professor da Universidade Carlos III. “Você pode aplicar isso a qualquer anedota, como a garota que foi à clínica de aborto e encontrou um anúncio que a deixou nervosa, ou o cara que viajou para um lugar clandestinamente e viu um anúncio que o chocou. O caso mais extremo é se você for a um supermercado ou a uma loja de bebidas ou comprar um livro e depois ver um anúncio relacionado”, acrescenta. Em casos como esse, costumamos dizer que nossos celulares estão nos ouvindo. Mas isso não é necessário. Com essas informações e como elas são compartilhadas, muitas conexões podem ser feitas sobre hábitos. É razoável que um cidadão comum se sinta desconfiado ao receber publicidade muito sutil sobre algum detalhe íntimo e não saber de onde ela vem.

Existem bancos de dados públicos com as coordenadas GPS de beacons Bluetooth ou antenas Wi-Fi. Com essas informações, se um celular for detectado, fica óbvio que seu dono esteve naquele local. Não é muito complexo. Mas essas informações devem estar disponíveis apenas para aplicativos que tenham a permissão de seus usuários, não para empresas de marketing desconhecidas que criam perfis de milhões de cidadãos. "86% dos 9.976 aplicativos [analisados] que usam beacons coletam informações pessoais identificáveis (como o nome ou ID do dispositivo), além de suas coordenadas GPS, redes Wi-Fi próximas e resultados de varredura Bluetooth", afirma o artigo científico.

A localização diz muito sobre nossos gostos e hábitos. A precisão dessas informações internas nos permite saber se compramos leite de aveia ou de vaca no supermercado, se gostamos de ficar nas vitrines de lojas de roupas baratas ou se lemos mais histórias reais ou ficção científica nas prateleiras de uma livraria. Se alguém recebeu uma oferta do Burger King ao entrar em um de seus restaurantes, agora sabe o porquê. Mas o uso comercial dessas informações vai muito além. Uma coisa é permitir que o Burger King nos faça uma oferta quando baixamos seu aplicativo, e outra é ter milhares de aplicativos contendo trechos de código que capturam essas informações e as enviam para empresas de marketing desconhecidas que traficam os dados.

Além do uso inesperado para publicidade inesperada, existem outros usos potencialmente mais delicados. "O problema mais sério é que eles podem ser usados para identificar seus movimentos e com quem você está", diz Narseo Vallina, coautor do artigo, pesquisador do Imdea Networks Institute e cofundador da empresa de privacidade Appcensus. Dados de localização não são usados apenas para rastrear onde alguém vai, mas também podem ser usados para determinar se entra em mesquitas ou saunas, ou até mesmo a velocidade de um carro ou a localização de um imigrante sem documentos. Esses comerciantes de dados podem acabar vendendo informações não apenas para fins comerciais, mas também, por exemplo, sobre quem estava na ilha de Jeffrey Epstein .

Ferramentas pré-fabricadas

Os aplicativos geralmente não são programados do zero. Eles usam os chamados SDKs (kits de desenvolvimento de software), que são ferramentas pré-fabricadas que são adotadas como estão e economizam muito trabalho de programação. Os SDKs executam funções que o aplicativo precisa , além de outras mais ocultas. "Este é um ecossistema de SDKs que ninguém estudou", diz Vallina. "Muitos estudos anteriores sobre dados de abuso de Bluetooth e Wi-Fi eram em nível teórico. Mas não havia um estudo empírico sobre quais tipos de SDKs implementam isso, e começamos a procurar SDKs que se anunciassem como serviços de localização e que também fornecessem serviços de Bluetooth e Wi-Fi", acrescenta.

Se especularmos sobre as possibilidades desse sistema, as hipóteses são inimagináveis: "Você instala um aplicativo de namoro que lhe dá acesso ao Wi-Fi. Depois, você se conecta a um ponto de acesso Wi-Fi em um local e, ao mesmo tempo, seu aplicativo de namoro verifica os dispositivos Bluetooth próximos. Dessa forma, eles sabem quem é seu par e onde você está", explica Vallina. O problema não é que seu aplicativo de namoro , ao qual você deu permissão, saiba, mas sim que um aplicativo de terceiros possui um SDK instalado.

"Detectamos 52 kits de desenvolvimento (SDKs) com funções para escanear redes Wi-Fi e sinais Bluetooth, que são usados em quase 10.000 aplicativos , que, por sua vez, estima-se que tenham sido instalados [historicamente] em cerca de 55 bilhões de dispositivos", afirma o estudo. Alguns aplicativos espanhóis também aparecem , principalmente nas categorias de estilo de vida ou esportes, mas o aplicativo é amplamente difundido: há bancos, clubes de futebol, hotéis, centros acadêmicos e veículos de comunicação.

“Em um metrô, pode haver um beacon Bluetooth cuja finalidade é contar passageiros. Mas nada impede que um SDK em um aplicativo faça o que estamos sugerindo, ou seja, saber exatamente que você está no metrô”, diz Tapiador. “Isso significa que você pode então reidentificar essa pessoa e associar quem passou por aqui com quem passou por lá”, acrescenta. O desafio impossível dessas investigações é descobrir exatamente onde esses dados vão parar e qual o uso que eles fazem deles: saber quais dados um SDK extrai é uma coisa, e como eles são processados é outra bem diferente. “Eles estão associados ao ID de publicidade do Android, que é um valor que identifica você e seu dispositivo, o que sugere que eles o estão usando para rastrear o usuário. Eles podem enviar um e-mail, um alerta ou agregá-lo em um servidor para criar um perfil seu com essas informações”, diz Vallina.

Este método foi desenvolvido para obter algo tão valioso quanto a localização do usuário, evitando todo o processo de obtenção do seu consentimento. "Se você perguntasse a uma empresa que prospera em rastrear o que mais lhe interessa em uma pessoa e pudesse escolher apenas uma opção, ela provavelmente diria a localização", explica Tapiador. "Não é de se surpreender que, tecnologicamente, grande parte do esforço de rastreamento seja voltado para a obtenção de dados de localização. Essa forma de usar beacons é simplesmente a enésima derivada de como obter uma localização com algo que ninguém jamais viu antes."

Fonte: El País