Um grupo de pesquisa europeu mostrou, na segunda-feira (3), que o conglomerado de redes sociais Meta, que controla o Facebook, o Instagram e o WhatsApp, começou a usar em setembro do ano passado um método para rastrear o histórico de navegação na internet de celulares Android. O Yandex (concorrente russo do Google) recorria à mesma prática desde 2017.
A tática, segundo o grupo, cruzava os dados de um mecanismo que monitora a interação do usuário com as propagandas de um site —o Meta Pixel— com os aplicativos do Facebook e Instagram, permitindo que a Meta ligasse a atividade da pessoa ao endereço IP registrado nos aplicativos de redes sociais. A companhia russa usava a mesma técnica com o Yandex Metrica.
Scripts de rastreio como esses funcionam sob a premissa de anonimizar os dados, para impossibilitar a identificação de quem navega pelas páginas e respeitar leis de privacidade. As informações de navegação, em geral, servem para calibrar quais anúncios são vistos na internet.
O Meta Pixel é um recurso popular instalado em 5,8 milhões de sites pelo mundo, que instalaram o rastreador sem receber a informação de que enviariam dados para o conglomerado americano, de acordo com a denúncia.
No dia em que artigo detalhando a prática foi publicado, o gigante das mídias sociais desativou o Meta Pixel.
À Folha a Meta disse, por meio de nota, que está em contato com o Google “para esclarecer um possível mal-entendido”. “Assim que tomamos conhecimento da questão, decidimos pausar o recurso enquanto trabalhamos com o Google para resolver o problema.”
Em pronunciamento, o Google afirmou que as funções mencionadas no estudo “violam flagrantemente” os seus princípios de segurança e privacidade. “Já implementamos mudanças para mitigar essas técnicas invasivas, iniciamos nossa própria investigação e estamos em contato direto com as partes envolvidas.”
No Brasil, 81% dos smartphones vendidos usam sistema operacional Android, de acordo com a empresa de análise de mercado Counterpoint.
O pesquisador do instituto de pesquisa madrilenho Imdea Networks Aniketh Girish, que participou da elaboração do relatório, disse à reportagem que a Meta obtinha os dados do usuário mesmo que ele usasse métodos conhecidos de privacidade como a guia anônima e VPNs (mecanismo que mascara o IP do usuário durante a navegação). “O único meio de proteger seus dados era desinstalar os aplicativos do Facebook e do Instagram.”
Isso porque as ferramentas de rastreio enviavam um sinal diretamente para o aplicativo, que mantém um identificador para cada usuário.
A equipe do Imdea testou a vulnerabilidade em diferentes navegadores e constatou que a Meta e o Yandex poderiam acessar as informações das pessoas nos navegadores Google Chrome, Microsoft Edge e Mozilla Firefox.
O Brave e o DuckDuckGo, cujos designs privilegiam a privacidade, bloquearam a troca de informações.
Os pesquisadores, que incluíam doutorandos e professores das Universidades de Leuven (na Bélgica) e Radboud (na Holanda), não encontraram nenhum outro aplicativo, além dos feitos pela Meta e pelo Yandex, que explorasse a vulnerabilidade para espionar os usuários.
“As implementações conhecidas vêm dos próprios scripts da Meta e da Yandex dentro de seus aplicativos oficiais”, afirmou Girish. De acordo com ele, qualquer aplicativo que use os canais localhost, usados para troca de informações entre os programas no mesmo dispositivo poderia adotar a mesma abordagem para espionar páginas visitadas em qualquer navegador que carregasse o script.
Criminosos, por exemplo, usam programas espiões para levantar informações sobre suas vítimas para aplicar golpes financeiros ou chantagear pessoas politicamente expostas, exemplificou o pesquisador.
O grupo de pesquisa não encontrou qualquer referência sobre canal de comunicação que permitia o rastreamento em documentos públicos de Meta e Yandex.
Como levantam informações detalhadas sobre a interação do usuário com uma página, o Meta Pixel e o Yandex Metrica podem aparecer entre as opções de privacidade que o usuário pode desativar nos sites.
Um teste feito pelos autores do estudo mostrou, contudo, que mais de 75% dos 100.000 sites mais populares de Estados Unidos e Europa ativaram os recursos de monitoramento de forma automática.
A equipe não encontrou evidências de que a brecha de privacidade fosse explorada em aparelhos da Apple. “Dito isso, o compartilhamento de dados semelhante entre navegadores iOS e aplicativos nativos é tecnicamente possível”, afirmou em nota.
“É possível que restrições técnicas e contratuais para executar aplicativos nativos em segundo plano possam explicar por que os usuários de iOS não foram alvo desses rastreadores”, avaliaram os autores.
Eles alertaram que a vigilância também pode afetar computadores e smart TVs, o que ainda não foi investigado.
