20 de fevereiro de 2019 / by Luciano / Aplicativos Mobile, Segurança da Informação, Tecnologia       

Aplicativos de Grandes Bancos, Cartões e Fintechs Brasileiras Enviam Dados dos Usuários para o Facebook

Após o caso reportado pelo site TechCrunch sobre os aplicativos que estavam monitorando e capturando dados sensíveis sem o consentimento dos usuários, realizei uma análise dos aplicativos brasileiros na categoria de bancos e finanças, os quais tem como pressuposto garantir a segurança e privacidade das informações dos seus clientes.

Descrição do Método

Utilizando a técnica de proxy reverso analisei o tráfego e requisições dos aplicativos ao servidor para identificar de onde os dados estavam sendo carregados e também para onde estavam sendo enviados.

Foi utilizada a rede 4G provida pela operadora de telefonia móvel da qual sou cliente e os aplicativos instalados em um aparelho celular pessoal (iPhone 7) diretamente da loja de aplicativos App Store da Apple, ou seja, nenhum cliente ou usuário dessas empresas foi monitorado ou teve seus dados acessados nesta análise.

É importante ressaltar que não foi possível analisar ou visualizar que tipos de dados estavam sendo trafegados, uma vez que estavam obfuscados por padrão, portanto apenas as URLs e IPs aos quais os aplicativos se conectavam foram identificadas.

Resultados

Foram testadas as versões iPhone dos aplicativos dos maiores bancos, cartões de crédito e fintechs com atuação no mercado brasileiro e o fato mais alarmante constatado é que a grande maioria dessas instituições monitora e envia dados dos seus clientes para o Facebook e em nenhum momento informam sobre essa prática aos usuários, nem mesmo em seus Termos de Uso.

Download: Arquivo com os Logs de Tráfego dos Aplicativos Analisados.

Aplicativos Analisados que Enviam Dados ao Facebook

Todos os aplicativos listados à seguir realizam requisições e enviam dados ao serviço Facebook Graph (http://graph.facebook.com), a API gratuita oferecida pelo Facebook aos desenvolvedores para monitorar aplicativos mobile.

Bancos

  • Banco do Brasil
  • Itaú
  • Itaú Personnalité
  • Itaú Tokpag
  • Itaú Abreconta
  • Santander Way
  • Bradesco Net Empresa
  • Banco Inter

Fintechs

  • Nubank
  • Guiabolso
  • Neon
  • Digio
  • Picpay

Cartões

  • Ourocard
  • Itaucard
  • Credicard
  • Hipercard
  • Cielo Mobile
  • Cartão Casas Bahia
  • Cartão Luiza
  • Cartão RCHLO
  • Porto Seguro Cartões
  • Cartão Atacadão

Conclusão

Apesar de não ser possível saber quais tipos de dados dos usuários são enviados para o Facebook por esses aplicativos, está ocorrendo uma clara violação da privacidade dos usuários por parte das maiores instituições financeiras brasileiras, as quais deveriam justamente zelar pela segurança e sigilo das informação dos seus clientes.

É possível supor que sejam dados “anônimos”, ou seja, que não identificam o usuário, apenas informam sobre seus hábitos de utilização do aplicativo (exemplo: localização, tempo de uso, telas acessadas, função mais utilizada, etc…). Levando isso em consideração, dados mais sensíveis como senhas, saldo ou extrato da conta ou transações financeiras não devem estar sendo enviados.

De toda forma, essas empresas devem estar utilizando a ferramenta do Facebook de boa fé, porque é comum utilizar APIs de monitoramento de uso dos aplicativos para geração de relatórios e estatísticas que auxiliem a entender melhor o comportamento dos usuários.

Entretando, é de conhecimento público a reputação do Facebook em coletar e cruzar informações dos usuários com objetivo de monetização, portanto é possível acreditar que a empresa de Mark Zuckerberg tenha a tecnologia necessária e capacidade para, se quiser, identificar exatamente quem e quando cada cliente utiliza os aplicativos citados.

Por fim, a conclusão da análise é que mesmo diante da boa intenção dessas instituições em integrar seus aplicativos com as ferramentas de monitoramento mais avançadas do mercado, está ocorrendo uma quebra de confiança e comprometimento da privacidade do usuário, o qual deveria (e deve) ter o direito de saber que toda vez que acessa os dados da sua conta através dos aplicativos analisados está sendo monitorado pelo Facebook.

Recomendações

A principal recomendação para sanar o problema é a utilização de outras tecnologias de monitoramento, ou seja, a substituição da ferramenta do Facebook por outra que não possua um conflito de interesses tão evidente.

Para as instituições que optarem por continuar com a tecnologia do Facebook, nossa recomendação é que informem de maneira explícita e inequívoca a todos os usuários quais dados estão sendo enviados e com quais empresas são compartilhados, de acordo com as regras e política de privacidade da App Store da Apple.

** ATUALIZAÇÃO **

22 de Fevereiro de 2019

O Wall Street Journal publicou um artigo sobre aplicativos que enviam dados pessoais, inclusive de saúde, dos usuários para o Facebook sem o seu consentimento. O site Engadget também deu mais detalhes sobre o caso.

De acordo com a Reuters, após a grande repercussão negativa, o governador de Nova Iorque solicitou uma investigação sobre essa prática abusiva do Facebook.

Referências

[1] Many popular iPhone apps secretly record your screen without asking

[2] 7 in 10 smartphone apps share your data with third-party services

[3] Tracking the Trackers: Towards Understanding the Mobile Advertising and Tracking Ecosystem

[4] Mobile Privacy: What Do Your Apps Know About You?

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *