Por Nicole Perlroth e Nick Bilton, The New York Times News Service/Syndicate
Em celulares, aplicativos usam dados pessoais sem permissão
São Francisco - O catálogo de endereços dos smartphones - onde são carregados alguns dos dados mais pessoais dos usuários - é liberado para uso dos desenvolvedores de aplicativos, muitas vezes sem o conhecimento do dono do aparelho.
As empresas que fazem muitos dos aplicativos mais populares para dispositivos Apple e Android - Twitter, Foursquare e Instagram entre elas - coletam rotineiramente a informação de agendas pessoais no telefone e, em alguns casos, a armazenam em seus próprios computadores. A prática passou a ser analisada em 15 de fevereiro, quando membros do congresso dos EUA viram novos relatos de que usar esses dados era uma "prática básica na indústria".
A Apple, que aprova todos os aplicativos presentes na iTunes Store, abordou a polêmica depois que parlamentares lhe enviaram uma carta questionando como aplicativos aprovados podiam coletar dados da agenda sem a permissão do usuário. A Apple publicou regras para aplicativos proibindo expressamente essa prática.
Mas em sua declaração sobre o assunto, a empresa não explicou por que os aplicativos que coletam dados do catálogo de endereços haviam sido aprovados.
Na declaração, Tom Neumayr, um porta-voz da Apple, disse: "Aplicativos que coletam ou transmitem os dados de contatos de um usuário sem autorização prévia estão violando nossas diretrizes. Estamos trabalhando para melhorar isso ainda mais para nossos clientes, e assim como fizemos com serviços de localização, qualquer aplicativo que deseje acessar dados de contatos precisará de uma aprovação explícita do usuário numa futura versão de software".
A U.S. Federal Trade Commission regulamenta o uso de dados do consumidor na internet, e já sancionou grandes empresas - como Facebook e Google - sobre questões de privacidade. Em 15 de fevereiro, o órgão afirmou que não faria comentários sobre as práticas dos fabricantes de aplicativos.
Embora a Apple afirme proibir e rejeitar qualquer aplicativo que colete ou transmita dados pessoais do usuário sem sua permissão, isso não impediu que alguns dos aplicativos mais populares para iPhone, iPad e iPod - como Yelp, Gowalla, Hipster e Foodspotting - usassem contatos pessoais e os transmitissem sem seu conhecimento.
O Google, responsável pelo software do sistema operacional Android, obriga desenvolvedores a pedir a permissão do usuário para acessar qualquer dado pessoal.
Os criadores de aplicativos coletam os dados para ajudar a expandir rapidamente a rede de usuários dos programas. A prática de usar informações da agenda sem permissão foi inicialmente identificada no começo de fevereiro, quando um desenvolvedor percebeu que uma rede social móvel, chamada Path, estava fazendo o upload de agendas inteiras aos seus servidores sem o conhecimento dos usuários. Desde então, a empresa garantiu que iria interromper a prática e destruir os dados já coletados.
Mas o Path não é o único aplicativo móvel que coleta catálogos de endereços. Em fevereiro passado, a Lookout, empresa de segurança móvel, descobriu que 11 por cento dos aplicativos gratuitos na iTunes Store tinham a capacidade de acessar os contatos do usuário. E em 14 de fevereiro, o blog de tecnologia VentureBeat relatou que dúzias de aplicativos para dispositivos Apple estavam acessando as agendas dos usuários sem permissão.
Essas descobertas lançaram mais luz sobre como as empresas de tecnologia vasculham informações pessoais e particulares dos consumidores sem o seu conhecimento. No ano passado, usuários ficaram chocados ao descobrir que o Color, um aplicativo de celular, podia ativar os microfones de seus aparelhos sem sua autorização.
Em dezembro, a empresa de inteligência móvel Carrier IQ foi acusada de violações de privacidade quando um programador descobriu que seu software de rastreio estava registrando teclas pressionadas, números discados, mensagens de texto enviadas e até mesmo buscas criptografadas na internet - em cerca de 140 milhões de smartphones.
"Está na hora de os desenvolvedores de aplicativos assumirem responsabilidade por assegurar que os usuários saibam o que estão fazendo, em vez de deixar isso por conta das plataformas", disse Jules Polonetsky, diretor do Future of Privacy Forum, numa recente entrevista.
Alguns desenvolvedores estão seguindo esse conselho e alterando seus aplicativos antes da intervenção da Apple e do congresso. Path e Hipster atualizaram seus aplicativos no começo de fevereiro, e agora os usuários são avisados das informações coletadas. As atualizações também dão ao usuário a habilidade de interromper o compartilhamento de informações da agenda. Depois disso, o Instagram, outro popular aplicativo que coleta contatos dos consumidores, inseriu um aviso pedindo a permissão do usuário.
No aplicativo do Twitter, quando o usuário escolhe "Encontrar amigos", a empresa pode armazenar seus contatos por até 18 meses. Em 14 de fevereiro, a empresa afirmou que pretendia alterar como seu aplicativo diz ao usuário o que é coletado.
"Em nossas próximas atualizações, que chegarão em breve, tornaremos mais explícita a linguagem associada ao 'Encontrar amigos'", explicou por e-mail Carolyn Penner, porta-voz do Twitter. "Enviamos e armazenamos dados com segurança. Informações do catálogo de endereços são criptografadas quando passam dos celulares aos nossos servidores. Dentro do Twitter, os dados são protegidos da mesma maneira que protegemos outras informações de conta."
Em 14 de fevereiro, um desenvolvedor descobriu que, quando um usuário cria uma conta no Foursquare, a empresa transmite sua agenda sem aviso prévio. Em resposta, a Foursquare disse estar acrescentando uma atualização ao aplicativo, advertindo os usuários de que seus contatos seriam acessados. Erin Gleason, diretora de comunicações da empresa, disse por e-mail que esta não armazena informações de contato do usuário.
"Quando alguém procura por amigos no Foursquare, nós transmitimos as informações da agenda por uma conexão segura e não as armazenamos além daquele ponto", escreveu ela.
A VentureBeat relatou que os piores transgressores pareciam usar atalhos e não protegiam adequadamente os dados coletados de smartphones. A empresa afirmou que o Foodspotting, aplicativo móvel que permite ao usuário compartilhar fotos de refeições, transmitia agendas de usuários por uma conexão não criptografada que podia ser facilmente interceptada. Alexa Andrzejewski, presidente da Foodspotting, disse por e-mail que o risco de não criptografar as informações de contato dos usuários "sempre pareceu relativamente baixo, especialmente para um site que não lida com informações de cartões de crédito ou outras informações confidenciais".
Andrzejewski disse também que a Foodspotting iria atualizar seu aplicativo para incluir recursos adicionais de segurança.
Em sua plataforma Android, o Google possui ferramentas que obrigam os desenvolvedores a notificar às pessoas quais dados eles pretendem acessar. Depois da autorização do usuário, desenvolvedores Android podem acessar qualquer informação do aparelho - de registros de chamadas a mensagens de texto. Mas os usuários de muitos aplicativos - incluindo Hipster, Locale, Uber, Yelp, Taxi Magic, Picplz, Scrabble e Waze - frequentemente não são avisados sobre como as informações serão usadas, ou como a empresa pretende armazená-las.
"O que separa o uso indevido do legítimo é o elemento surpresa. Se um usuário fica surpreso, isso é um problema", explicou Kevin Mahaffey, diretor de tecnologia da Lookout. Segundo ele, em muitos aspectos, os padrões e regras para dados em smartphones ainda estão sendo debatidos. "Essa é uma indústria nova, e muita coisa ainda lembra o velho oeste. O ferro ainda está quente."
The New York Times News Service/Syndicate – Todos os direitos reservados. É proibido todo tipo de reprodução sem autorização por escrito do The New York Times