MENU

Apple usa identificador único do iPhone para rastrear usuários

Apple usa identificador único do iPhone para rastrear usuários

Atualizado: Segunda-feira, 18 Outubro de 2010 as 1:37

A maioria dos programas mais populares para o iPhone transmite pela internet o identificador único de dispositivo (UDID), segundo um estudo realizado pelo especialista em segurança Eric Smith. Smith analisou 57 aplicativos para o iPhone e concluiu que 68% transmitem o UDID. Apenas 14% dos programas testados não faziam uso dessa informação com certeza; os 18% restantes usavam conexão criptografada, de modo que o pesquisador não pode determinar o que estava sendo enviado.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários , que está aberta para todos os leitores. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.   O Unique Device Identifier (UDID) é um identificador único presente em cada iPhone, iPad e iPod Touch. Ele não pode ser modificado e é fácil para qualquer software instalado no celular ter acesso a ele.

Segundo o especialista, a Apple desenvolveu esse recurso com o intuito de facilitar o armazenamento de preferências ou pontuação em games. Craig Michael Lie Njie, que é desenvolvedor do aplicativo WasteNot, opina que os UDIDs não muito úteis para essa tarefa, porque um software usado em mais de um dispositivo não seria capaz de guardar as opções do usuário sem um sistema de cadastro próprio, já que o UDID de cada dispositivo seria diferente.

“Com isso, o UDID é mais útil para rastrear o comportamento do usuário. Eu vi vários sistemas de rastreamento de publicidade e o comportamento que usam o UDID sem o conhecimento ou consentimento do usuário”, explica. Diferentemente de cookies do navegador, que podem ser apagados, o UDID é eterno e não pode ser modificado, garantindo que o programa sempre possa rastrear o mesmo aparelho – e, portanto o mesmo usuário – de alguma forma.

Lie opina que a Apple deveria criar um sistema mais seguro, que pudesse interligar as configuraçõe de um software quando ele for executado em mais de um dispositivo pela mesma pessoa, sem comprometer os dados do usuário.

Para Smith, o mais estranho é a falta de informação e crítica a respeito do recurso. O pesquisador lembra que a Intel criou uma função semelhante em 1999, colocando um número serial legível por software no processador Pentium III. Na época, grupos de privacidade reclamaram e a Intel foi forçada a modificar o processador e remover o Pentium Serial Number (PSN). Cada iPhone vendido desde 2007 possui seu próprio UDID, mas o fato ficou desconhecido até agora.

“Como os UDIDs podem ser facilmente ligados a informações pessoais, as preocupações de “Big Brother” da época do Pentium III deveriam existir nos usuários do iPhone também”, escreveu o pesquisador . Smith também contrasta a falta de aviso do iPhone quando o UDID é transmitido, em comparação com a informação de localização GPS, que o celular avisa quando ela é solicitada pelo software em uso.

Nas mãos da Apple

O pesquisador responsável pelo estudo, Eric Smith, concedeu uma entrevista exclusiva ao G1 . Smith falou que tudo está nas mãos da Apple. A empresa poderia dar aos usuários a opção de desativar o UDID ou camuflá-lo de alguma forma. “Mas nada disso deve acontecer. A própria Apple faz uso do UDID”, afirma Smith. Em uma análise feita logo após o estudo, o especialista notou que a Apple coleta o UDID para a plataforma de anúncios iAd .

“Imagine que você tem um cookie no seu navegador que é impossível de remover e não existe maneira de remover esse cookie. Isso é o UDID”, resume Smith. Cookies na web são muito usados por publicitários para entender o comportamento de internautas durante a interação com os anúncios. É exatamente para este fim que a Apple usa o UDID no iAd.

Em alguns casos, a ligação de cookies pode comprometer informações pessoais, o que levou softwares de segurança como o Spybot Search & Destroy a mirarem os cookies durante a limpeza do sistema. No caso do UDID, é impossível removê-lo ou alterá-lo.

Smith é diretor-assistente do departamento de tecnologia da informação da Universidade de Bucknell, na Pensilvânia. Ele tentou verificar como o iPhone se comportava diante de alguma situações adversas na rede, já que muitos funcionários, professores e alunos usavam o celular da Apple. Smith descobriu que alguns aplicativos usavam mais a rede do que era esperado. E, analisando os dados transmitidos, percebeu o UDID.

“É um tapa na cara da privacidade”, diz. “Para ser sincero, me assustou.” Smith explica que o UDID pode ser facilmente ligado a informações pessoais por “apps” que sabem quem o usuário é. O estudo citou o programa de shopping da loja virtual Amazon, mas outros utilitários podem ter o mesmo impacto. “Se um aplicativo sabe quem você é, como eBay, Paypal, bancos, Amazon, e coletam UDIDs, é ‘game over’”.

Para o especialista em privacidade e economia Ben Edelman, o problema é “sério e interessante”. “Esse comportamento vai de encontro às expectativas razoáveis dos usuários e não deveria ocorrer ou ocorrer apenas com um aviso claro, o que não tem ocorrido”, comentou.

Não há pesquisas semelhantes para outras plataformas de celular, mas as informações disponíveis até agora indicam que a Apple é a única a permitir que softwares transmitem o “número serial” do celular.

Em agosto, pesquisadores norte-americanos criaram um software chamado TaintDroid e publicaram uma pesquisa sobre a transmissão de dados particulares por programas do sistema operacional de celulares Android, concorrente do iOS usado pelo iPhone. O TaintDroid tenta identificar os aplicativos que transmitem dados pessoais, permitindo que usuário bloqueie o envio da informação. Embora problemas existam, não há um identificador único sendo transmitido.

Smith é usuário do iPhone e diz que considerou trocar, mas agora está interessado no desfecho da história. Ele está fazendo testes com um software na rede que mascara o UDID do seu celular e apagou todos os aplicativos de notícia, exceto um que, segundo suas análises, não realiza a transmissão do UDID.

Questionada sobre o assunto, a Apple não ofereceu comentários.

Hoje eu vou ficando por aqui. Volto na quarta-feira (20) com o pacotão de respostas a dúvidas de leitores. Não se esqueça de deixar sua dúvida na área de comentários, para que ela seja respondida na coluna. Até a próxima!    

veja também