Facebook paga para invadir privacidade de usuários
O Facebook já foi acusado de fazer várias coisas ruins, desde influenciar eleições ao redor do mundo, vazar dados de seus usuários e até patrocinar eventos que negam as mudanças climáticas. Agora, uma investigação do portal Tech Crunch revela que a rede social está pagando adolescentes e adultos para invadir suas privacidades, com o intuito de coletar dados de usuários sem fazer muito alarde.
“Desesperado por dados sobre seus concorrentes, o Facebook tem secretamente pago pessoas para instalar uma VPN chamada “Facebook Research”, que permite que a empresa absorva toda a atividade de telefone e web do usuário, semelhante ao aplicativo Onavo Protect do Facebook que a Apple baniu em junho e foi removido em agosto. O Facebook evita a App Store e recompensa adolescentes e adultos a baixar o aplicativo de pesquisa e dar acesso root ao tráfego de rede, o que pode ser uma violação da política da Apple para que a rede social possa descriptografar e analisar sua atividade telefônica”, aponta matéria publicada no site.
Segundo o texto, o Facebook admitiu ao TechCrunch que estava executando o programa de pesquisa para coletar dados sobre os hábitos de uso de seus usuários. A investigação mostra que, desde 2016, o Facebook paga usuários com idades entre 13 e 35 anos até 20 dólares por mês, além de taxas de indicação, para venderem sua privacidade, instalando o aplicativo “Facebook Research” em plataforma iOS ou Android. “O Facebook até pediu aos usuários para fazer um screenshot de sua página de histórico de pedidos da Amazon. O programa é administrado pelos serviços de testes beta Applause, BetaBound e uTest para encobrir o envolvimento do Facebook, e é referido em algumas documentações como “Projeto Atlas” – um nome apropriado para o esforço do Facebook de mapear novas tendências e rivais ao redor do mundo”, aponta o texto do Tech Crunch, assinado pelo jornalista Josh Costine.
As acusações contra a empresa de Mark Zuckerberg geraram respostas quase imediatas. “Sete horas depois que essa história foi publicada, o Facebook disse ao TechCrunch que encerraria a versão para iOS de seu aplicativo de pesquisa na sequência do nosso relatório. Mas na manhã de quarta-feira, um porta-voz da Apple confirmou que o Facebook violou suas políticas e bloqueou o aplicativo de pesquisa antes que a rede social o retirasse voluntariamente (sem mencionar que foi forçada a fazê-lo)”, descreve o texto.
“Projetamos nosso Programa de Desenvolvimento Empresarial exclusivamente para a distribuição interna de aplicativos dentro de uma organização. O Facebook tem usado seus membros para distribuir um aplicativo de coleta de dados para os consumidores, o que é uma clara violação de seu acordo com a Apple. Qualquer desenvolvedor usando seus certificados corporativos para distribuir aplicativos para os consumidores terá seus certificados revogados, que foi o que fizemos neste caso para proteger nossos usuários e seus dados”, declarou a Apple em um comunicado. O programa de pesquisa continua sendo executado no Android.
“Confiança”
O aplicativo de pesquisa do Facebook exige que os usuários “confiem” nele, oferecendo um acesso extensivo aos seus dados. O Tech Crunch entrou em contato com Will Strafach, especialista em segurança do Guardian Mobile Firewall, um dos aplicativos de protção mais conceituados do mundo, e pediu que ele fizesse um relatório sobre o Facebook Research “Se o Facebook fizer uso total do nível de acesso dada a solicitação aos usuários para instalar o Certificado, eles terão a capacidade de coletar continuamente os seguintes tipos de dados: mensagens privadas em aplicativos de mídia social, bate-papos em aplicativos de mensagens instantâneas – incluindo fotos / vídeos enviados para outras pessoas, e-mails, pesquisas na web, atividade de navegação na Web e até mesmo informações de localização em andamento tocando nos feeds de qualquer aplicativo de rastreamento de localização que você tenha instalado. Não está claro exatamente com quais dados o Facebook se preocupa, mas obtém acesso quase ilimitado ao dispositivo de um usuário quando instala o aplicativo”, aponta Strafach.
Chamath Palihapitiya: “as redes sociais estão destruindo a sociedade”
“O passo que soa bastante técnico ‘instalar nosso certificado raiz’ é chocante”, conta Strafach. “Isso dá ao Facebook acesso contínuo aos dados mais confidenciais sobre você, e a maioria dos usuários não seria capaz de consentir razoavelmente com isso, independentemente de qualquer acordo assinado por eles, porque não há uma boa maneira de expressar quanto poder é entregue ao Facebook quando você faz isso”, acusa.
A situação poderia agravar ainda mais as relações entre o Facebook e a Apple. As gigantes da tecnologia já têm um histórico recente de embates e rusgas. Tim Cook, CEO da Apple, já criticou repetidas vezes as práticas de coleta de dados do Facebook. Essa desobediência das políticas do iOS para obter mais informações por parte da rede social pode se tornar um novo ponto de discussão. “A estratégia mostra até onde o Facebook está disposto a ir e quanto está disposto a pagar para proteger seu domínio – mesmo correndo o risco de quebrar as regras da plataforma iOS da Apple, da qual depende. Uma punição mais rigorosa (por parte da Apple) seria revogar a permissão do Facebook de oferecer aplicativos voltados para seus funcionários”, sugere Costine em seu texto.
Vigilância
A detecção de dados por parte de empresas de tecnologia não é uma novidade. O Facebook entrou no negócio de detecção de dados quando adquiriu a Onavo, uma empresa israelense que atua na coleta e análise de dados, por cerca de 120 milhões de dólares em 2014. Os aplicativos da Onavo ajudaram seus usuários a rastrear e minimizar o uso de planos de dados móveis, mas também deram análises profundas ao Facebook sobre quais aplicativos eles estavam usando. Documentos internos adquiridos por Charlie Warzel e Ryan Mac, do BuzzFeed News, revelam que o Facebook conseguiu alavancar a Onavo para saber que o WhatsApp estava enviando mais do que o dobro de mensagens por dia do que o Facebook Messenger.
A Onavo permitiu que o Facebook identificasse a ascensão meteórica do WhatsApp e justificasse o pagamento de 19 bilhões de dólares para comprar a startup de bate-papo em 2014. O WhatsApp triplicou sua base de usuários, demonstrando o poder da previsão da Onavo.
Ao longo dos anos, desde então, a Onavo instruiu o Facebook sobre quais aplicativos copiar, quais recursos desenvolver e quais fracassos evitar. Em 2018, o Facebook estava promovendo o aplicativo da Onavo em uma aba chamada Proteção em aplicativo principal, “na esperança de conseguir mais usuários para bisbilhotar”. O Facebook também lançou o aplicativo Onavo Bolt, que permite que você bloqueie aplicativos com uma senha ou sua impressão digital, mas encerrou o aplicativo após críticas de privacidade. O aplicativo principal da Onavo permanece disponível no Google Play e foi instalado mais de 10 milhões de vezes.
Em março de 2018, Strafach apontou que o Onavo Protect estava se reportando ao Facebook quando a tela de um usuário estava ligada ou desligada, e mostrando seu uso de dados de celular e Wi-Fi em bytes, mesmo quando o VPN estava desligado. Em junho, a Apple atualizou suas políticas de desenvolvedor para proibir a coleta de dados sobre o uso de outros aplicativos ou dados que não são necessários para que um aplicativo funcione. A Apple informou ao Facebook em agosto que o Onavo Protect violou essas políticas de coleta de dados e que a rede social precisava removê-lo da App Store, o que aconteceu – mas isso não impediu a coleta de dados por parte da empresa de Mark Zuckerberg.
Projeto Atlas
A descoberta do TechCrunch de que o Facebook estava pagando aos usuários para invadir suas próprias privacidades foi feita através de uma denúncia. “Apesar do Onavo Protect ter sido banido pela Apple, o Facebook estava pagando aos usuários para que utilizassem um aplicativo de VPN similar sob o nome de Facebook Research fora da App Store. Nós investigamos e descobrimos que o Facebook estava trabalhando com três serviços de teste beta para distribuir o aplicativo Facebook Research: BetaBound, uTest e Applause.
O Facebook começou a distribuir seu aplicativo de Pesquisa VPN em 2016. Ele foi chamado de Projeto Atlas desde pelo menos meados de 2018, quando a repercussão negativa em volta do Onavo Protect foi ampliada e a Apple instituiu suas novas regras que proibiam a Onavo. “O Facebook não queria parar de coletar dados sobre o uso do telefone das pessoas e, assim, o programa de pesquisa continuou, em desrespeito pela proibição do Onavo Protect pela Apple”, denuncia o texto.
Anúncios para o programa veiculados no Instagram e no Snapchat procuravam adolescentes de 13 a 17 anos para um “estudo pago de pesquisa de mídia social”. Na página de inscrição do programa de Pesquisa do Facebook, administrada pelo site Applause, que não mencionava o Facebook, a faixa etária era mais ampla: usuários com idade entre 13 a 35 anos eram procurados. Para os jovens entre 13 e 17 anos, consentimento dos pais era necessário. Apenas no formulário necessário para a autorização dos pais o envolvimento do Facebook era revelado. Este formulário dizia: “Não há riscos conhecidos associados ao projeto, mas você reconhece que a natureza inerente do projeto envolve o rastreamento de informações pessoais por meio do uso de aplicativos do seu filho. Você será compensado pelo Applause pela participação de seu filho”.
O site Applause explica quais dados podem ser coletados pelo aplicativo Facebook Research:
“Ao instalar o software, você concede ao cliente permissão para coletar dados de seu telefone que os ajudará a entender como você navega na Internet e como você usa os recursos dos aplicativos que você instalou. Isso significa que você está permitindo que nosso cliente colete informações, como quais aplicativos estão no seu telefone, como e quando você os usa, dados sobre suas atividades e conteúdo nesses aplicativos, além de como outras pessoas interagem com você ou com seu conteúdo. Você também está permitindo que nosso cliente colete informações sobre sua atividade de navegação na Internet (incluindo os sites que você visita e os dados que são trocados entre seu dispositivo e esses sites) e seu uso de outros serviços online. Há alguns casos em que nosso cliente coletará essas informações mesmo quando o aplicativo usar criptografia ou em sessões seguras do navegador”.
9 crimes bizarros relacionados ao Facebook
Na página de inscrição do BetaBound com um URL que termina em “Atlas”, os valores estão explícitos. “Por 20 dólares por mês (por meio de cartões de presente eletrônico), você instalará um aplicativo em seu telefone e o deixará rodar em segundo plano” – 20 dólares também são oferecidos para cada amigo indicado que instalar o aplicativo. Esse site também não menciona inicialmente o Facebook, mas o manual de instruções para instalar o Facebook Research revela o envolvimento da empresa.
Burlando os testes
O Facebook, aparentemente de maneira intencional, evitou o TestFlight, o sistema oficial de testes beta da Apple, que requer que os aplicativos sejam revisados pela Apple e que sejam limitados a 10.000 participantes. Em vez disso, o manual de instruções revela que os usuários baixam o aplicativo do endereço “r.facebook-program.com” e são instruídos a instalar um Certificado de Desenvolvedor Empresarial. A Apple exige que os desenvolvedores concordem em usar este sistema de certificados apenas para distribuir aplicativos corporativos internos para seus próprios funcionários. O recrutamento aleatório de testadores e o pagamento de uma taxa mensal violam o espírito dessa regra.
Depois de instalados, os usuários precisavam manter o VPN em execução e enviar dados para o Facebook para receber o pagamento. Esses dados podem ajudar o Facebook a vincular os hábitos de navegação e o uso de outros aplicativos com preferências e comportamento de compra. Essas informações podem ser aproveitadas para identificar a segmentação de anúncios e entender quais tipos de usuários compram o quê.
Segundo Strafach conta ao Tech Crunch, os dados são roteados para “vpn-sjc1.v.facebook-program.com”, um endereço associado ao endereço IP da Onavo, e o domínio facebook-program.com está registrado no Facebook, de acordo com o MarkMonitor. O aplicativo pode se atualizar sem interagir com a App Store e está vinculado ao endereço de e-mail [email protected]. Ele também descobriu que o Enterprise Certificate adquirido pela primeira vez em 2016 indica que o Facebook o renovou em 27 de junho de 2018 – semanas depois que a Apple anunciou suas novas regras que proibiam o aplicativo Onavo Protect.
“É complicado saber quais dados o Facebook está realmente salvando (sem acesso a seus servidores). A única informação que é conhecível aqui é o que o Facebook é capaz de fazer com base no código do aplicativo. E isso pinta uma imagem muito preocupante. Eles podem responder e alegar que só retêm / salvam dados limitados muito específicos, e isso pode ser verdade, e isso realmente se resume ao quanto você confia na palavra do Facebook. A narrativa mais caridosa dessa situação seria que o Facebook não pensava muito sobre o nível de acesso que eles estavam concedendo a si mesmos. . . que é um nível surpreendente de negligência em si, se for esse o caso”, explica Strafach.
“Desrespeito flagrante das regras da Apple”
Em resposta à consulta do TechCrunch, um porta-voz do Facebook confirma que a empresa está executando o programa para saber como as pessoas usam seus telefones e outros serviços. “Como muitas empresas, convidamos as pessoas a participar de pesquisas que nos ajudam a identificar as coisas que podemos estar fazendo melhor. Como esta pesquisa visa ajudar o Facebook a entender como as pessoas usam seus dispositivos móveis, fornecemos informações abrangentes sobre o tipo de dados que coletamos e como eles podem participar. Não compartilhamos essas informações com outras pessoas e as pessoas podem parar de participar a qualquer momento”.
O porta-voz do Facebook afirmou que o aplicativo de pesquisa do Facebook estava em linha com o programa de certificação corporativa da Apple, mas não explicou como quando confrontado com as evidências que mostram que isso não é verdade. Eles disseram que o Facebook lançou seu programa de pesquisa em 2016. Eles tentaram comparar o programa a um grupo focal e disseram que a Nielsen e a comScore rodam programas similares, mas nenhum deles pede às pessoas para instalar uma VPN ou fornecer acesso root (de um “super usuário”) à rede. O porta-voz confirmou que o programa de pesquisa do Facebook recruta adolescentes, mas também outros grupos etários de todo o mundo. Eles alegaram que a Onavo e a Facebook Research são programas separados, mas admitiram que a mesma equipe apoia ambos como uma explicação para o porquê de seu código ser tão similar.
“A alegação do Facebook de que ele não viola a política de certificado corporativo da Apple é diretamente contrariada pelos termos dessa política. Estes incluem que os desenvolvedores devem ‘distribuir os perfis de provisionamento apenas para seus funcionários e somente em conjunto com seus aplicativos internos de uso com o propósito de desenvolver e testar’. A política também estabelece que ’você não pode usar, distribuir ou disponibilizar seus aplicativos internos aos seus clientes’, a menos que esteja sob supervisão direta de funcionários ou nas instalações da empresa. Uma vez que os clientes do Facebook estão usando o aplicativo com certificado empresarial sem supervisão, parece que o Facebook está em violação”, aponta Costine.
O jornalista conta que, sete horas após a primeira publicação de seu texto, o Facebook atualizou sua posição e disse ao TechCrunch que encerraria o aplicativo iOS Research. O Facebook ainda observou que o aplicativo de pesquisa foi iniciado em 2016 e, portanto, não substituiu o Onavo Protect. “No entanto, eles compartilham código semelhante e podem ser vistos como gêmeos rodando em paralelo”, compara.
Um porta-voz do Facebook também forneceu esta declaração adicional: “Fatos importantes sobre este programa de pesquisa de mercado estão sendo ignorados. Apesar dos primeiros relatos, não havia nada “secreto” sobre isso; foi literalmente chamado de Facebook Research App. Não foi “espionagem”, pois todas as pessoas que se inscreveram para participar passaram por um processo claro de integração pedindo permissão e foram pagas para participar. Finalmente, menos de 5% das pessoas que optaram por participar desse programa de pesquisa de mercado eram adolescentes. Todos eles com formulários de consentimento dos pais assinados”.
Facebook aumenta sensação de solidão, diz estudo recente
A matéria do Tech Crunch rebate dizendo que o Facebook não promoveu publicamente a própria VPN de pesquisa e usou intermediários que muitas vezes não divulgavam o envolvimento do Facebook até que os usuários iniciassem o processo de inscrição. “Enquanto os usuários recebiam instruções e avisos claros, o programa nunca enfatiza nem menciona a extensão total dos dados que o Facebook pode coletar através da VPN. Uma pequena fração dos usuários pagos pode ter sido de adolescentes, mas nós mantemos a noticiabilidade da escolha de não excluir menores de idade dessa iniciativa de coleta de dados”, diz o texto.
Briga de gigantes
A desobediência explícita de regras da Apple poderia prejudicar o relacionamento entre as duas gigantes da tecnologia. “O código neste aplicativo para iOS indica fortemente que é simplesmente uma versão com pouca publicidade do aplicativo banido da Onavo, agora usando um certificado corporativo de propriedade do Facebook em violação direta das regras da Apple, permitindo que o Facebook distribua este aplicativo sem a revisão da Apple para quantos usuários quiserem. Esta é uma violação flagrante em muitas frentes, e eu espero que a Apple aja rapidamente na revogação do certificado de assinatura para tornar o aplicativo inoperável”, diz Strafach.
“No ano passado, quando perguntaram a Tim Cook o que ele faria na posição de Mark Zuckerberg após o escândalo da Cambridge Analytica, ele disse: ‘Eu não estaria nessa situação. A verdade é que poderíamos ganhar muito dinheiro se rentabilizássemos o nosso cliente, se o nosso cliente fosse o nosso produto. Optamos por não fazer isso’. Zuckerberg disse a Ezra Klein que ele achava que o comentário de Cook era ‘extremamente simplista’, lembra Costine.
O jornalista sugere que o maior interesse do Facebook está no que os adolescentes fazem em seus telefones, já que usuários desta faixa etária abandonam cada vez mais a rede social em favor do Snapchat, do YouTube e do Instagram (recentemente adquirido pelo próprio Facebook). “Os insights sobre o quão popular entre os adolescentes é o aplicativo de vídeo musical chinês TikTok e o compartilhamento de memes levaram o Facebook a lançar um clone chamado Lasso e começar a desenvolver um recurso de navegação por memes chamado LOL.
O TechCrunch diz na matéria que também descobriu que o aplicativo de monitoramento Screenwise Meter, do Google, também viola a política de Certificado empresarial da Apple, “embora faça um trabalho melhor ao revelar o envolvimento da empresa e como ele funciona do que o Facebook”, conclui o texto. [Tech Crunch]
