Apps de Android espiam que outros apps estão instalados no aparelho para identificar usuário
Sabemos que aplicativos de todos os tipos acompanham todos os nossos movimentos e compartilham essas informações com praticamente todas os empresas imagináveis. Mas, na verdade, isso pode não ser tão simples: acontece que esses aplicativos também estão fornecendo detalhes sobre os outros programas que você instalou no telefone.
Esta notícia vem de um novo artigo publicado por uma equipe de pesquisadores europeus. Eles descobriram que alguns dos aplicativos mais populares da loja Google Play vinham junto com alguns pedaços de software que extraem detalhes de todos os aplicativos que já foram baixados no telefone de uma pessoa .
Antes de atirar seu Android pela janela com medo e nojo, precisamos esclarecer algumas coisas. Primeiro, esses pedaços de software — chamados IAMs ou “installed application methods” (“métodos de aplicativos instalados”), em tradução livre — têm alguns usos decentes.
Um aplicativo de fotografia pode precisar verificar o ambiente ao redor para garantir que você tenha uma câmera instalada em algum lugar do telefone. Se outro aplicativo tiver um problema na presença de uma câmera no telefone, conhecer o ambiente — e o motivo dessa falha — pode ajudar o desenvolvedor a saber com qual parte do aplicativo ele deve mexer para impedir que isso aconteça no futuro.
Como essas chamadas específicas do IAM são tecnicamente para fins de depuração, elas geralmente não precisam obter permissões da mesma maneira que um aplicativo normalmente faria quando, digamos, precisa acessar sua localização.
Os dispositivos Android, inclusive, melhoraram o modo de controlar essa forma de rastreamento invasivo depois de lutar por anos. O Android 11 exigirá formalmente que os desenvolvedores solicitem ao Google acesso a permissões de localização antes de disponibilizar seus apps na loja.
Mas, voltando aos IAMs, pesquisar os aplicativos em um determinado telefone pode ser uma forma muito fácil de rastreamento: os aplicativos que baixamos podem dar dicas aos desenvolvedores sobre nossas rendas, nossas sexualidades e alguns dos nossos medos mais profundos.
A equipe de pesquisa descobriu que, dos cerca de 4.200 aplicativos comerciais analisados que fazem essas IAM calls, quase metade estava captando apenas detalhes dos aplicativos ao redor. Por contexto, a maioria das outras chamadas — que eram para monitorar detalhes sobre o app, como atualizações disponíveis ou a versão atual do aplicativo — juntas representava menos de 1% de todas as chamadas observadas.
Existem algumas razões para a prevalência desse comportamento incorreto de rastrear aplicativos, mas na maioria das vezes tudo se resume a uma coisa: dinheiro. Muitos desses IAMs vêm de aplicativos integrados a software de empresas de tecnologia de ponta que oferecem aos desenvolvedores uma maneira fácil de ganhar dinheiro rapidamente com seu produto gratuito.
Provavelmente, é por isso que a maior parte — mais de 83% — dessas chamadas estava sendo feita em nome de código de terceiros que o desenvolvedor integrou a seu aplicativo. Não são códigos que foram incorporados ao aplicativo para adicionar algum recurso ou interface.
E, na maioria das vezes, esses terceiros são — como você deve ter suspeitado — empresas especializadas em publicidade direcionada. Examinando as 20 principais bibliotecas que extraem algum tipo de dados via IAMs, alguns dos principais nomes, como ironSource ou AppNext, estão no negócio de exibir os anúncios certos para a pessoa certa no momento certo, oferecendo ao desenvolvedor o preço certo pelo seu esforço.
E como os desenvolvedores de aplicativos geralmente precisam de dinheiro, eles incorporam essas ferramentas para ganhar dinheiro sem perguntar antes como elas ganham esse dinheiro. Esse tipo de situação é o mesmo motivo pelo qual vemos rastreadores de todas as formas e tamanhos em todos os sites, às vezes sem que as pessoas por trás do site tenham alguma ideia.
O Google ainda não respondeu ao nosso pedido de comentário, mas como essa tecnologia, às vezes, se aproxima perigosamente de violar as políticas da própria empresa sobre como os anúncios podem e não podem ser segmentados, pode haver esperança de que eles tomem medidas.