A Apple já deixou claro há muito tempo que o fingerprinting, uma atividade de rastreamento através de funcionalidades do hardware e de softwares de um dispositivo, é proibido em seus dispositivos. No entanto, alguns aplicativos populares encontraram uma brecha nessa proibição, aproveitando-se dela sem escrúpulos.

Tommy Mysk, pesquisador da área de privacidade, descobriu que vários aplicativos populares para iOS estão usando uma funcionalidade de notificação em push, introduzida pela primeira vez em 2016, para enviar dados detalhados sobre o dispositivo do usuário para o servidor de suas respectivas empresas.

Mysk explicou ter notado este padrão preocupante e aparentemente persistente ao examinar vários aplicativos de redes sociais, incluindo o TikTok, Facebook, FB Messenger, Instagram, Threads e X. Todos esses aplicativos se aproveitaram da funcionalidade que permite a customização de suas notificações de push, mesmo quando não estão sendo executados.

Essa funcionalidade não é por si só maliciosa e tem um propósito importante. Por exemplo, ela pode ser útil para aplicativos que precisam decodificar a carga útil de notificações ou fazer o download de conteúdo adicional para apresentar a notificação ao usuário. Quando um aplicativo recebe uma notificação em push, o iOS dá um sinal para que o aplicativo “acorde” e seja executado por um curto período de tempo. Durante este processo, o app pode fazer qualquer coisa que o desenvolvedor quiser, incluindo alterar a aparência da notificação. Este seria o propósito final da funcionalidade, mas o problema é que o aplicativo também consegue coletar dados ou enviar informações sobre o usuário nesse tempo.

Mysk observou que os aplicativos estudados aprenderam a tirar o máximo de proveito deste tempo de execução limitado, enviando os dados coletados para servidores remotos. O pesquisador chamou esta capacidade de executar o código em segundo plano de “mina de ouro para os apps desesperados por dados.”

Mas como isso tudo funciona, de acordo com Mysk?

• O desenvolvedor do app cria um código a ser executado em segundo plano
• O desenvolvedor envia uma notificação em push para o usuário do aplicativo. O push pode conter qualquer informação, seja uma notícia, o placar de uma partida de futebol ou uma nova solicitação de amizade
• O dispositivo do usuário recebe a notificação em push, mas ela não é mostrada na tela ainda. O iOS reconhece que a notificação em push vem a partir do app da rede social e o ativa em segundo plano. O app está sendo executado, mas o usuário não consegue vê-lo ou interagir com ele
• O aplicativo executa o código preparado pelo desenvolvedor em segundo plano. Por mais que isso possa ser inofensivo (por exemplo, o código pode ser usado para adicionar mais informações, inclusive imagens, à notificação), esse processo também pode ser usado para coletar dados do dispositivo do usuário e enviá-los aos servidores do desenvolvedor

Esse esquema pode dar aos desenvolvedores uma combinação única de informações sobre as características de software e hardware do dispositivo de um usuário.

Muitos aplicativos estão usando essa funcionalidade como uma oportunidade para enviar informações detalhadas sobre dispositivos enquanto são executados de forma silenciosa em segundo plano. Isso inclui: localização, tempo de atividade do sistema, idioma do teclado, memória disponível, status de bateria, modelo do dispositivo, iluminação do display etc.

Esses dados podem ser usados posteriormente para rastrear os usuários através dos aplicativos, afirma Mysk.

Que dados estão sendo coletados?

No vídeo em que descreve os exemplos deste truque, Mysk mostra os tipos de dados que podem ser coletados por empresas de redes sociais através de notificações em push. Esta coleta é feita tanto pelo próprio serviço da empresa ou com a ajuda de softwares de terceiros, como as ferramentas de analytics do Google, como o Google Analytics e o Firebase.

No caso do TikTok, por exemplo, o aplicativo envia o tempo de boot do iPhond para os servidores remotos sempre que recebe uma notificação em push.

Isso significa que o TikTok sabe exatamente quando o usuário reiniciou o seu iPhone pela última vez. Se coletado após certo período de tempo, o horário da inicialização é capaz de revelar a frequência com que o usuário reinicia o seu iPhone, indicando o quanto ele é utilizado e o quanto o seu funcionamento está estável. Isso também pode ser utilizado para identificar o dispositivo do usuário ou para o rastreamento de sua atividade.

Quando o aplicativo do Facebook envia uma notificação em push para o mesmo dispositivo, o Facebook recebe os mesmos dados sobre a última vez que o iPhone foi inicializado.

Como notou o pesquisador, isso pode facilitar o rastreamento do usuário em diferentes aplicativos. Isso porque o horário de inicialização pode ser utilizado como um identificador único para o dispositivo de um usuário. Se o mesmo dispositivo possui múltiplos aplicativos que coletam e enviam o horário de inicialização para servidores, os horários de inicialização podem ser comparados e linkados ao mesmo dispositivo. Assim, o comportamento e as preferências do usuário na Internet podem ser rastreados através de diferentes apps, mesmo que o usuário não use a mesma conta ou as mesmas informações de login em diferentes apps. Tudo isso faz com que a exploração das notificações em push por parte das empresas de redes sociais seja uma ameaça legítima à privacidade.

Além disso, Mysk chama atenção para o fato de que alguns aplicativos como o Facebook e o TikTok também enviam dados ao limpar suas notificações do centro de notificações, o que também é uma funcionalidade do iOS que oferece uma visão geral dos alertas de aplicativos.

Por exemplo, quando um usuário limpa uma notificação do Facebook, o app envia uma solicitação com informações detalhadas, incluindo dados sobre memória disponível, último evento do aplicativo (como curtir um post, por exemplo), o tempo passado desde o último evento, o ID do usuário (capaz de identificar a sua conta no Facebook), o tamanho do conteúdo preferido, o timestamp (a data e o horário exato) em que a notificação foi eliminada, o tipo de conexão e assim por diante.

O Twitter (X) lida com a coleta de dados de usuários mais ou menos da mesma forma que o Facebook e o TikTok.

Todas as três empresas estão utilizando o Firebase, um serviço oferecido pelo Google, aponta Mysk, adicionado que “a frequência com a qual muitos aplicativos enviam informações de dispositivos após uma notificação é surpreendente.”

Nova regra da Apple para desenvolvedores: o que vai mudar?

Mysk acredita que as novas regras para desenvolvedores da Apple podem ser positivas. Elas serão colocadas em prática ainda na primeira metade deste ano e definem que os desenvolvedores de aplicativos terão que justificar por que seus aplicativos precisam usar certas APIs. APIs são métodos usados por diferentes aplicativos para comunicar e compartilhar dados.

Os desenvolvedores terão que explicar por que precisam acessar informações de aplicativos não apenas a partir de seu código, mas também das SDKs (kits de desenvolvimento de software) que adicionem aos seus aplicativos. Tanto apps, quanto SDKs de terceiros terão que justificar um ou mais “motivos aprovados” pelos quais precisam acessar informações de dispositivos através de APIs em documentos chamados “manifestos de privacidade.” Estes motivos deveriam ser “consistentes com a funcionalidade do aplicativo.” Nós escrevemos uma avaliação detalhada das novas exigências da Apple para desenvolvedores em Agosto, você pode lê-la aqui.

Mas a questão é a seguinte: isso impedirá que as empresas coletem dados de aplicativos através de notificações de push? Em teoria, sim, mas apenas se a Apple levar a sério essas novas regras, monitorando a adoção ou não por parte dos aplicativos. E não há como ter certeza disso.

Nós acreditamos que as novas regras irão melhorar a situação, mas até que ponto? Essa é uma questão difícil e pode ter várias respostas. Os desenvolvedores terão que levar em conta as novas regras, então existe a possibilidade de que tentarão seguí-las de boa vontade. No entanto, os serviços que estão mais determinados em continuar com a coleta de dados provavelmente vão optar por aceitar os riscos. Nestes casos, identificar estes aplicativos será tarefa da Apple.

De qualquer forma, esperamos que a Apple adote uma postura mais proativa e transparente diante da privacidade. Caso contrário, a privacidade dos usuários continuará ameaçada.