Pontos de vista

La Liga: forçando usuários a se tornarem espiões

Garry Kasparov, 11 Setembro 2019

Há pouco que um software de segurança possa fazer quando os próprios usuários concedem permissões amplas aos aplicativos que instalam.

Sempre escrevo aqui sobre como as empresas exploram a tendência humana em aceitar padrões de segurança negligentes. As pessoas não têm tempo de ler milhares de páginas de termos de serviço ou se incomodar com o motivo pelo qual um jogo de celular precisa saber sua identificação e localização. (Geralmente isso serve para vender suas informações para anunciantes.) E uma vez concedida a permissão de instalação, pouca coisa pode ser feita para monitorar suas atividades, isso se esses aplicativos respeitarem as regras do jogo.

Um exemplo que chegou às manchetes dos noticiários* recentemente foi o aplicativo oficial da liga de futebol espanhola: a famosa La Liga. Instalado em mais de 10 milhões de dispositivos, ele usava o microfone e informações de localização do smartphone para ouvir o áudio de fundo e, assim, detectar se bares e restaurantes estavam transmitindo as partidas do campeonato ilegalmente. O aplicativo literalmente transformou cada usuário em um espião da empresa. Isso obviamente é um abuso, ainda mais que essa “funcionalidade” de vigilância não foi informada aos usuários. Mas não é preciso pensar muito para perceber o quanto essa prática pode ser perigosa.

Usuários entregam as chaves dos seus dados

Fiquei um pouco surpreso ao ouvir de especialistas em segurança da Avast que não há muita coisa que um software de segurança pode fazer em casos como esse. Afinal de contas, foram os próprios usuários que deram permissão ao aplicativo para gravar o áudio. Quando o aplicativo é instalado, ele pergunta se pode usar a localização do smartphone e o microfone. Uma vez que você diz sim a essas permissões – necessárias para instalar o aplicativo, quem é que diz não a essas exigências? – há pouco que qualquer outro software possa fazer. Você entregou as chaves, e os usuários não querem alarmes falsos sobre coisas que já aprovaram. Da mesma forma, fabricantes de smartphones não querem criar obstáculos de segurança que podem irritar os usuários. Além disso, eles sabem que provavelmente não vão sofrer nenhuma consequência ligada ao próximo fiasco de privacidade, porque eles acontecem tão frequentemente, que acabamos ficando anestesiados.

As ofensas contra a privacidade e a segurança acontecem tão rápido uma em cima da outra, que agências reguladoras não conseguem acompanhar, mesmo quando elas têm o poder para isso. Os consumidores têm ainda menos habilidade para ficar de olho nisso ou diferenciar quais escândalos merecem atenção daqueles que se espalham de forma viral, mas que não são uma ameaça verdadeira.

FaceApp faz o que milhões de outros apps fazem

Por exemplo, o pânico causado pelo FaceApp se espalhou quase tão rapidamente quanto o próprio aplicativo ao se descobrir que o programa de alteração de fotos, que se tornou sensação mundial, foi desenvolvido na Rússia e estava coletando dados e imagens dos usuários. Sou a última pessoa a ignorar ameaças russas, mas isso parece ter sido algo muito exagerado, como afirma o chefe de inteligência em ameaça móvel da Avast, Nikolaos Chrysaidos. Para mim, isso mostra como poucas pessoas prestam atenção a essas práticas. O FaceApp faz o mesmo que milhões de outros aplicativos: coleta sua informação em troca de publicidade direcionada e venda de dados para terceiros. Esses compradores podem ser empresas de pesquisa política, agregadores que criam perfis de usuários ou até mesmo os “russos”.

Esse é um status quo inaceitável. La Liga foi multada por violação de dados graças à regulação europeia de proteção à privacidade (que é fraca, mas, ainda assim, mais forte do que qualquer outra coisa). Para gigantes corporativos, essas penalidades são como custos operacionais e, provavelmente, não vão impedir futuros abusos quando todo um modelo de negócio é baseado em aumentar os limites da coleta de dados, análise de Inteligência Artificial (IA) e marketing.

O Regulamento Geral sobre Proteção de Dados  (RGPD) da Europa não é perfeito. Mais medidas regulatórias precisarão ser testadas para que se alcance algum progresso. Talvez as multas devam ser escalonadas relativamente aos ganhos da empresa, como as punições por excesso de velocidade na Finlândia*. Assim, elas não serão ignoradas. Além disso, mais nações precisam de entidades como a agência nacional de proteção de dados da Espanha (AEPD, da sigla em espanhol) e os consumidores deveriam dar atenção a elas.

Enquanto isso, você pode ser grampeado se não implementar fortes configurações de privacidade no seu smartphone ou caso não tenha um software de segurança. Mas mesmo que tenha isso, você ainda pode ser grampeado por um aplicativo!

* Original em inglês.