Facebook e Google usavam certificados corporativos para coletar dados de usuários móveis [Atualizado]
Facebook e Google disponibilizaram apps for fora das lojas do iPhone e Android, burlando políticas; Apple revogou os certificados de ambas empresas
Ronaldo Gogoni 5 anos atrás
Atualização 21:48: a Apple também revogou os certificados do Google. Mais informações no texto.
Outro dia, outra polêmica, mas desta vez, o Facebook e o Google envolveram a Apple na parada: ambas companhias foram pegas utilizando certificados corporativos para oferecer apps de coleta de dados aos usuários, por fora da Apple Store e da Google Play Store, prometendo pagamentos em troca de absolutamente tudo o que o iPhone (e o Android) armazena.
A resposta da Apple contra o Facebook foi rápida e mortal, e o mesmo pode acontecer com o Google.
- Facebook se recusou a impedir compras em games feitas por crianças
- Google pede à Suprema Corte para encerrar processo da Oracle referente ao Android
O "Projeto Atlas" do Facebook
Vamos voltar um pouco. Em 2013, o Facebook adquiriu um app de VPN chamado Onavo Protect, que a empresa ofereceu para usuários instalarem em seus celulares. Em troca dos serviços, o Onavo coletava dados de praticamente todas as ações das pessoas, de modo a montar bases de dados que foram importantes em tomada de decisões. Por exemplo, foi graças ao Onavo que Mark Zuckerberg conseguiu avaliar o alcance do WhatsApp, levando à sua compra em 2014.
Em agosto de 2018, a Apple mudou suas políticas e proibiu o uso de apps para montar bases de dados em seus aparelhos, o que levou à expulsão do Onavo e aplicativos semelhantes. No entanto, o Facebook já possuía um plano perverso, para dizer o mínimo, a fim de remediar a situação.
Desde 2016, a empresa de Zuckerberg possui um app semelhante ao Onavo Protect, chamado Facebook Research, disponível para iOS e Android; os usuários participavam de uma "pesquisa" de hábitos e costumes, e em troca recebiam uma quantia mensal de US$ 20 (R$ 73,70 em 31/01/2019). O programa era administrado por empresas de testes como Applause, BetaBound e uTest, de modo a ocultar o envolvimento do Facebook (sim, empresas laranja), e para despistar, em algumas documentações o software era identificado como "Projeto Atlas", uma referência ao livro A Revolta de Atlas, o manifesto objetivista de Ayn Rand.
Como o app faz essencialmente o mesmo que o Onavo, e não poderia ser inserido na App Store ou na Google Play Store, o Facebook jogou sujo, muito sujo: ele faz uso de certificados corporativos, necessários para desenvolvimento e testes de novas versões de seus apps, de modo a oferecer a usuários selecionados a possibilidade de baixar e instalar o Facebook Research por fora das lojas oficiais, burlando totalmente as diretrizes do Google e da Apple, em especial da segunda, que proíbe e impede completamente a pratica.
Uma vez instalado, o Facebook Research tinha acesso a praticamente tudo: mensagens, fotos, vídeos, histórico de navegação, dados de localização e etc., além de exigir que os usuários enviassem capturas de tela com o histórico de compras do Amazon. E mais: o app incentivava os participantes a compartilharem o método de instalação com outros usuários, a fim de aumentar sua base instalada e maximizar a coleta.
De acordo com o especialista em segurança online Eill Strafach, ainda que o Facebook não fosse capaz de coletar tudo, o app podia visualizar essas informações, e fazer o que bem entender. O Facebook Research até possuía um modo de restringir o uso por menores, mas que podia ser facilmente burlado. Segundo informes, o "Projeto Atlas" era voltado a usuários de 13 e 35 anos.
Ainda que o Android tenha sido igualmente afetado, o iPhone é o principal alvo do Facebook, e deve-se levar em conta que Mountain View vinha fazendo a mesma coisa que a rede social. E pior, a mais tempo.
Screenwise Meter, o olheiro do Google
O Google possui desde 2012 uma ferramenta chamada Screenwise Meter, exclusiva para iOS (a empresa possui métodos legais para coletar dados no Android, graças aos Termos de Uso) que funcionava da exata mesma maneira: utilizando um certificado corporativo para distribuir a aplicação de VPN por fora da App Store.
Uma vez instalado, o usuário concordava com os termos para enviar os dados de navegação ao Google, mas com uma diferença: ele informava desde o início o que ele oferecia e o que exigia em troca, e possuía um "modo convidado" que em tese, desabilitava todo o processo de coleta.
Como forma de pagamento, o usuário recebia cartões-presente da Google Play Store.
De acordo com as informações oficiais, o uso do Screenwise Meter era restrito a maiores de 18 anos, da mesma forma que o Opinion Rewards (o app oficial do Google que oferece pesquisas, e que paga os usuários com créditos na Play Store), mas semelhante ao Facebook Research, ele permitia que usuários dependentes numa mesma residência pudessem ser cadastrados, e estes poderiam ter a partir de 13 anos.
Agora, o outro lado
Em nota ao TechCrunch, um porta-voz do Facebook confirmou a existência do "Projeto Atlas", e deu os motivos da empresa para oferecer a instalação paralela aos usuários:
"Como muitas empresas, nós convidamos as pessoas a participarem de pesquisas que nos ajudem a identificar o que podemos melhorar. Como esta pesquisa visa ajudar o Facebook a entender como as pessoas utilizam seus dispositivos móveis, nós fornecemos informações abrangentes sobre os tipos de dados que coletamos, e como eles podem participar. Nós não compartilhamos essas informações com outros, e as pessoas podem deixar o programa a qualquer momento."
O porta-voz admitiu que apesar do Facebook Research e o Onavo Protect (que ainda está disponível para Android) serem produtos separados, a mesma equipe desenvolve ambas soluções, o que explica suas similaridades. E ele ainda foi bastante cínico, ao dizer que a instalação paralela, utilizando um certificado corporativo "não viola as políticas da Apple", o que é um absurdo, já que o uso dele é restrito a empresas e desenvolvedores, e não pode em nenhuma hipótese ser fornecido a um usuário final.
Em um segundo comunicado, desta vez para o site Gizmodo, o Facebook disse o seguinte:
"Fatos importantes sobre o programa de pesquisa de mercado estão sendo ignorado. Apesar dos primeiros informes, ele não é um 'segredo', e o app de fato, se chama Facebook Research. Ele não estava 'espiando' as pessoas que participam do programa, pois todos os usuários foram questionados sobre isso, e são devidamente remunerados. Por fim, menos de 5% das pessoas que escolheram participar da pesquisa de mercado são asolescentes, e todos apresentaram formulários de consentimento preenchidos pelos pais."
Sobre a última frase, foi uma resposta à tentativa da COO Sheryl Sandberg de apagar o incêndio com gasolina, ao ser questionada na CNBC sobre a participação de menores. A resposta da executiva, é de que "eles próprios consentiram".
No fim das contas, o Facebook emitiu uma nova nota, se comprometendo e desligar por completo o Facebook Research e o "Projeto Atlas" como um todo. Por enquanto ele continua funcionando no Android, segundo relatos.
Já o Google emitiu a seguinte nota, enviada ao jornalista John Paczkowski do site BuzzFeed News:
Here's Google's statement on Screenwise, an app that monitors how people use their iPhones pic.twitter.com/4Nu9eu8ATM
— John Paczkowski (@JohnPaczkowski) 30 de janeiro de 2019
"O app para iOS Screenwise Meter não deveria operar sob o programa corporativo da Apple — isso foi um erro, e nós pedimos desculpas. Nós desativamos o app em dispositivos iOS. Seu uso é completamente voluntário e sempre foi. Nós sempre deixamos claro para os usuários como utilizamos seus dados no app, não temos acesso a dados criptografados nos apps e dispositivos, e os usuários podem deixar o programa a qualquer momento."
A resposta da Apple contra o Facebook e o Google
A Apple não foi nada gentil com o Facebook. Pouco tempo depois que o TechCrunch soltou a bomba na mídia, a maçã revogou completamente os certificados corporativos da empresa, o que é uma medida dura e bastante prejudicial: sem eles, apps de testes e versões antigas do Facebook, Messenger, Instagram e WhatsApp, usados para controle e implementação de novas funções deixaram de funcionar, e a própria distribuição de novas versões fica comprometida.
O clima dentro do Facebook não anda nada bom desde então. De acordo com fontes do Business Insider, diversos funcionários e executivos andam fulos nas calças, procurando alguém para servir como bode expiatório, ou culpando a própria Apple pela porrada, o que não surpreende. Segundo Sarah Frier, da Bloomberg, todos os apps de testes do Facebook estão offline, e a empresa estaria negociando uma solução com Cupertino.
Horas depois, e mantendo a consistência, a Apple aplicou a mesma pena ao Google, revogando seus certificados corporativos. Assim, todos os betas e apps do iOS de circulação interna, utilizados pelos desenvolvedores de Mountain View deixaram de funcionar.
Através de comunicados, Apple e Google afirmam que estão trabalhando numa solução para restaurar os acessos, mas a atitude não só demonstra que a Apple não deu favorecimento ao Google em relação ao Facebook, mas que a atitude serve para barrar tanto o Facebook Research quanto o Screenwise Meter, que deixaram de funcionar nos iPhones.
Há quem diga que a situação pode escalar para a remoção de todos os apps do Facebook da App Store, e conseguinte desativação dos mesmos em dispositivos iOS, mas esta é uma medida extrema e muito difícil de acontecer com o Facebook, e praticamente impossível de ser aplicada contra o Google (até porque de dinheiro todos gostam); no entanto, a previsão do tempo para 1 Infinite Loop é de tempestades pesadas nos próximos dias.
