Uma recente investigação(nova janela) do Le Monde mostra como os dados ligados à publicidade em smartphones podem expor as identidades e os movimentos diários da polícia, militares e pessoal dos serviços de informações franceses (incluindo membros de unidades de elite).

Crucialmente, isto não foi o resultado de hacking ou de um erro grosseiro. Estas informações altamente sensíveis foram recolhidas de conjuntos de dados de consumidores publicamente disponíveis e amplamente comercializados. Aplicações comuns com tecnologia de rastreio de anúncios incorporada recolheram a sua localização e venderam-na a corretores de dados.

Para além das óbvias preocupações de segurança nacional levantadas por esta investigação, ela mostra a quantidade de dados íntimos sobre a nossa vida quotidiana que está prontamente disponível para os anunciantes através de um ecossistema de anúncios de consumo que não tem proteções de privacidade nem supervisão.

As suas aplicações estão a partilhar silenciosamente para onde vai

Este “hack” explora dados passivos que os seus dispositivos enviam a toda a hora. Eis como funciona:

A maioria dos anúncios gratuitos ganha dinheiro com pequenos pedaços de código fornecidos por redes de anúncios, conhecidos como kits de desenvolvimento de software (SDKs) de publicidade, que recolhem dados cada vez que abre uma aplicação ou carrega um anúncio. Estes dados podem incluir:

  • O ID de publicidade do seu telemóvel (um rastreador único)
  • O seu endereço IP(nova janela)
  • Informações de localização (discutiremos isto abaixo)
  • Que aplicação está a utilizar
  • Quando a está a utilizar

As aplicações partilham estes dados constantemente em segundo plano (mesmo quando não está a fazer nada), enviando-os normalmente para os servidores do SDK, e não para os do programador da aplicação. A partir daqui, são vendidos a corretores de dados que combinam informações de milhares de aplicações num histórico detalhado da sua localização.

Estes dados não são anónimos

O seu endereço IP identifica unicamente o seu telemóvel e pode ser utilizado para estimar grosseiramente a sua localização, aproximadamente à distância de uma cidade. No entanto, o seu endereço IP é um perigo de privacidade amplamente conhecido e pode ser facilmente ocultado usando uma VPN(nova janela). Mais insidiosas são as tecnologias que afirmam rastreá-lo “anonimamente”.

Informações de localização

Tanto o Android como o iOS incluem controlos de privacidade granulares que lhe permitem recusar o acesso das aplicações à sua localização (o que significa principalmente acesso direto aos seus dados GPS). No entanto, as aplicações podem utilizar dados de outros pontos de dados no seu telemóvel aos quais podem aceder para inferir a sua localização com uma precisão surpreendente:

  • Redes Wi-Fi próximas (que são mapeadas em bases de dados globais)
  • Beacons Bluetooth (frequentemente localizados em lojas, eventos e sistemas de transporte)
  • Sensores (incluindo padrões de movimento e saltos entre torres de telemóvel)

ID de publicidade

O ID de publicidade do seu telemóvel (AAID no Android, IDFA no iOS) é um identificador de dispositivo persistente e único que foi especificamente criado para permitir o rastreio entre aplicações. Em teoria, não está ligado ao seu nome, mas como o SDK de publicidade tem acesso aos seus dados de localização:

  • Sabe onde dorme
  • Sabe onde trabalha
  • Pode rastrear o ginásio, o bar, as lojas e os amigos que visita, e combinar isto com outras informações a que tem acesso (como a sua presença nas redes sociais) para inferir a sua identidade a partir das suas rotinas diárias.

Isto chama-se desanonimização de padrões de mobilidade(nova janela), e a sua capacidade de o identificar unicamente foi comprovada repetidamente em investigações(nova janela). Na verdade, foi exatamente isto que o Le Monde fez.

Os corretores de dados compram estes dados em massa

Os fornecedores de SDKs de publicidade e as empresas de tecnologia de anúncios vendem ou partilham esta telemetria com corretores de dados, que:

  • A agregam a partir de milhões de aplicações
  • Constroem históricos de movimento ao nível do dispositivo
  • Revendem conjuntos de dados a anunciantes, fundos de cobertura, campanhas políticas e qualquer outra pessoa disposta a pagar

Estes conjuntos de dados podem incluir milhares de milhões de pings de localização precisos ligados a IDs de publicidade.

A investigação do Le Monde

Os jornalistas do Le Monde simplesmente compraram estes conjuntos de dados publicamente disponíveis a corretores de dados e usaram-nos para procurar dispositivos que passavam as noites num endereço (provavelmente a casa do utilizador) e visitavam regularmente um local durante o dia (provavelmente o local de trabalho do utilizador). Se estes locais de trabalho fossem instalações sensíveis conhecidas, como a sede da DGSE (o equivalente francês da CIA), uma base militar ou um local nuclear, era fácil inferir o cargo do proprietário numa organização governamental.

Eles puderam então cruzar os seus padrões de movimento com informações publicamente disponíveis, como atividades nas redes sociais, perfis do LinkedIn e registos de propriedade, para determinar as identidades dos indivíduos. Usando esta técnica, o Le Monde desanonimizou e rastreou os movimentos diários íntimos de:

  • Oficiais de inteligência dos serviços franceses
  • Unidades policiais de elite e serviços de proteção
  • Membros de forças de intervenção como o GIGN
  • Pessoal militar estacionado em bases-chave (incluindo instalações de dissuasão nuclear)
  • Executivos da indústria de defesa
  • Pessoal prisional
  • Funcionários de centrais nucleares

A investigação do Le Monde ecoa de perto um relatório de 2017 do Institute for United Conflict Analysts, que conseguiu identificar a localização e o pessoal de bases militares dos EUA(nova janela) e postos avançados de espionagem em todo o mundo usando dados de exercício publicamente disponíveis que os soldados tinham carregado para a empresa de monitorização de fitness Strava.

Por que isto é importante

As implicações de segurança nacional sobre como estes dados públicos podem ser abusados são claras. No entanto, também mostra quanto das nossas vidas digitais quotidianas é silenciosamente monitorizado e monetizado. Os dados de rastreio de anúncios podem revelar:

  • Onde vive
  • Onde trabalha
  • As suas rotinas e hábitos
  • As suas relações
  • As suas afiliações políticas ou religiosas
  • As suas consultas médicas
  • Todos os lugares onde vai (hora a hora e com uma precisão de alguns metros)

Com uma vigilância baseada em anúncios e partilha de dados tão generalizada, torna-se inevitável que informações sensíveis acabem por cair nas mãos de pessoas que as queiram abusar. Por exemplo, criminosos poderiam usá-las para tornar ataques de engenharia social mais credíveis, ou stalkers poderiam usá-las para rastreá-lo(nova janela). A publicidade baseada em vigilância cria uma ameaça direta à sua identidade, finanças e segurança física.

O que pode fazer a esse respeito?

Não há forma de impedir todos os tipos de rastreio, mas pode tomar as seguintes medidas para reduzir a granularidade dos conjuntos de dados recolhidos:

  • Desative os serviços de localização(nova janela) quando não estiverem em uso e recuse permissões de localização às aplicações.
  • Utilize uma VPN(nova janela) para ocultar o seu endereço IP real. Funcionalidades de filtragem de DNS, como o NetShield Ad-blocker(nova janela) do Proton VPN, também podem ajudar a bloquear scripts de anúncios e rastreadores.
  • Elimine o seu ID de publicidade no Android (DefiniçõesGoogleTodos os serviçosAnúnciosPrivacidade e segurançaAnúnciosEliminar ID de publicidade). Os iPhones não oferecem esta opção.
Captura de ecrã a mostrar como eliminar o seu ID de publicidade no Android

Se unidades de segurança de elite podem ser expostas, qualquer pessoa pode ser

A investigação do Le Monde mostra que os perigos da publicidade generalizada e não regulamentada não são apenas uma preocupação teórica. Os indivíduos identificados na investigação não tinham feito nada de descuidado: estavam apenas a usar smartphones normais com aplicações normais. Como todos nós.

O problema é estrutural. As empresas de publicidade recolhem demasiados dados, os programadores de aplicações incorporam ferramentas de rastreio que não compreendem totalmente ou simplesmente priorizam os lucros sobre a preocupação com a segurança dos seus utilizadores, os corretores de dados vendem conjuntos de dados de localização a quase qualquer pessoa, e os reguladores são largamente ineficazes.

Quando toda uma indústria é construída em torno da vigilância constante da localização, mesmo profissionais altamente treinados não conseguem evitar ser rastreados. E o utilizador também não.