+55 (21) 2505-9393
+55 (21) 99731-6528
contato@acpdbrasil.com

E se aplicativos não estivessem em conformidade com a LGPD?

Conformidade, Proteção e Privacidade de Dados

Ron Wyden

E se eu te dissesse que governos podem estar espionando você por meio do seu smartphone, isso te surpreenderia? Provavelmente não. Todos nós sabemos que esses pequenos “black mirrors” são pesadelos de privacidade, mesmo com os recursos extensivos de privacidade e proteção de dados que tanto a Apple quanto o Google adicionaram ao longo dos anos. E se aplicativos não estivessem em conformidade com a LGPD?

Em 24 de janeiro deste ano, o programador francês David Libeau publicou em seu blog pessoal, um dos primeiros textos explicitando a dificuldade de estar em conformidade com o General Data Protection Regulation (GDPR) por causa das notificações push.

Ao que tudo indica, usuários e desenvolvedores não estão cientes de como os fluxos de dados das notificações push ocorrem e que este fluxo passa por servidores de terceiros, como por exemplo, da Google, da Mozila, da Apple, dentre outros, dependendo do que você esteja utilizando e que tenha notificações push ativadas.

O que são as notificações push?

Notificações push são alertas instantâneos enviados aos usuários de smartphones por aplicativos, como uma notificação sobre uma nova mensagem de texto ou uma atualização de notícias. Elas não são enviadas diretamente pelo provedor do aplicativo para os smartphones dos usuários. Em vez disso, elas passam por uma espécie de correio digital administrado pelo fornecedor do sistema operacional do telefone. Para iPhones, esse serviço é fornecido pelo Apple Push Notification Service; para telefones Android, é o Firebase Cloud Messaging do Google. Esses serviços garantem a entrega oportuna e eficiente das notificações, mas isso também significa que a Apple e o Google atuam como intermediários no processo de transmissão.

Como funcionam as notificações push?

A notificação push é um sistema baseado em assinatura. Através de um app ou navegador, seu dispositivo se inscreve em um canal e, a partir deste momento, tudo precisará passar pelos servidores do fabricante daquele smartphone ou daquele navegador. Por “servidor do fabricante”, entenda-se Apple, se você tiver um iPhone, ou Google, se tiver um telefone Android, ou Google se estivessem usando o Chrome, a Mozilla se estiver utilizando o Firefox e por aí vai.

Contudo, é importante não confundirmos as notificações push com notificações regulares. Um aplicativo ou seu navegador da web também pode enviar notificações enquanto estiver aberto. Essas notificações regulares não enviam dados para alguns servidores.

Quando um aplicativo deseja enviar uma notificação push, mesmo quando está fechado, é o servidor do aplicativo que desencadeia uma notificação enviando as informações para os servidores do fabricante do smartphone ou para o desenvolvedor daquele navegador de internet. Portanto, potencialmente, a Apple, a Google ou seus concorrentes podem ler suas notificações push ou, pelo menos, saber que você está recebendo dados de um aplicativo.

Alerta do Senador estadunidense Ron Wyden

A Agência Internacional de Notícias Reuters publicou matéria escrita pela jornalista Raphael Satter matéria intitulada, em tradução livre, “Governos estão espionando usuários da Apple e Google por meio de notificações push – alerta senador dos EUA”.

Nesta reportagem o Raphael Satter deixa claro que Governos não identificados estão monitorando usuários de smartphones por meio das notificações push de seus aplicativos.

Em uma carta ao Departamento de Justiça, o Senador Democrata, do Estado do Oregon, Ron Wyden afirmou que autoridades estrangeiras estavam exigindo dados das empresas Alphabet’s (GOOGL.O) Google e Apple (AAPL.O). Embora os detalhes fossem escassos, a carta descreve mais uma maneira pela qual os governos podem rastrear smartphones.

Neste documento, o Senador Ron Wyden compartilhou que na primavera de 2022, seu escritório recebeu uma informação de que agências governamentais, incluindo países estrangeiros, estavam exigindo registros de notificações push de smartphones da Google e da Apple. E informou que sua equipe vem investigando essa informação desde então, o que incluiu entrar em contato com a Apple e a Google. Em resposta a essa consulta, as empresas informaram que as informações sobre essa prática estavam restritas de divulgação pública, pelo Governo.

Aplicativos de todos os tipos dependem de notificações push para alertar os seus usuários sobre mensagens recebidas, notícias de última hora e outras atualizações. As notificações push são compostas por sons ou indicadores visuais, que estes usuários podem visualizar quando recebem um novo e-mail ou quando seu time de futebol vence um jogo. O que os usuários frequentemente não sabem é que quase todas essas notificações passam pelos servidores do Google e da Apple, quando o assunto é smartphone. E se aplicativos não estivessem em conformidade com a LGPD?

“Isso dá às duas empresas uma visão única do tráfego que flui desses aplicativos para seus usuários e, por sua vez, as coloca “em uma posição única para facilitar a vigilância governamental sobre como os usuários estão usando aplicativos específicos”

–  Ron Wyden, senador estadunidense.

O Sr. Ron Wyden pediu ao Departamento de Justiça para “revogar ou modificar quaisquer políticas” que impeçam discussões públicas sobre a espionagem por meio de notificações push.

Em comunicado, a Apple afirmou que a carta de Wyden lhe deu a abertura necessária para compartilhar mais detalhes com o público sobre como os governos monitoram notificações push.

“Neste caso, o governo federal nos proibiu de compartilhar qualquer informação”, afirmou a empresa em comunicado. “Agora que esse método se tornou público, estamos atualizando nosso relatório de transparência para detalhar esses tipos de solicitações.”

– Apple Inc.

Ainda sobre a revelação do Senador Ron Wyden, em outro comunicado a Apple se manifestou:

“A Apple está comprometida com a transparência e sempre apoiou esforços para garantir que os provedores possam divulgar o máximo de informações possível aos seus usuários. Neste caso, o governo federal nos proibiu de compartilhar qualquer informação, e agora que esse método se tornou público, estamos atualizando nossos relatórios de transparência para detalhar esses tipos de solicitações.”

– Apple Inc.

A Apple Inc. agora adicionou, em seu documento intitulado “Legal Process Guidelines Government & Law Enforcement within the United States” a seção AA – Apple Push Notification Service (APNs). O documento está disponível clicando aqui. Embora, sem detalhes técnicos, na referida seção, a Apple compartilha que, quando os usuários permitem que um aplicativo que instalaram receba notificações push, um token do Apple Push Notification Service (APNs) é gerado e registrado para aquele desenvolvedor e dispositivo. Alguns aplicativos podem ter vários tokens APNs para uma conta em um dispositivo, a fim de diferenciar entre mensagens e multimídia. O Apple ID associado a um token APNs registrado pode ser obtido por meio de uma intimação ou de um processo legal mais abrangente.

Segundo a CNN Business, o Departamento de Justiça se recusou a comentar a carta de Wyden e não respondeu a perguntas sobre se o governo dos EUA já fez suas próprias exigências legais às gigantes da tecnologia para obter dados de notificações móveis.

Avisos de Privacidade

Organizações que utilizam essas notificações push em seus apps, por exemplo, majoritariamente não informam seus usuários sobre isso. Entretanto, como exceção a esta regra, podemos encontrar algumas informações sobre notificações push em algumas declarações de privacidade. Por exemplo, a Microsoft internacional adicionou um parágrafo sobre notificações push em sua declaração de privacidade:

“Para informá-lo sobre chamadas, chats e outras mensagens recebidas, o Teams utiliza o serviço de notificação em seu dispositivo. Para muitos dispositivos, esses serviços são fornecidos por outra empresa. Para informar quem está ligando, por exemplo, ou para fornecer as primeiras palavras do novo chat, o Teams precisa informar o serviço de notificação para que eles possam fornecer a notificação para você. A empresa que fornece o serviço de notificação em seu dispositivo usará essas informações de acordo com seus próprios termos e política de privacidade. A Microsoft não é responsável pelos dados coletados pela empresa que fornece o serviço de notificação.”

– Declaração de privacidade da Microsoft.

Já a Apple, publicou artigo, o seguinte aviso:

“Importante: não inclua informações do cliente ou dados sensíveis, como um número de cartão de crédito, na carga útil de uma notificação. Se for necessário incluir informações do cliente ou dados sensíveis, criptografe-os antes de adicioná-los à carga útil. Você pode usar uma extensão de aplicativo de serviço de notificação para descriptografar os dados no dispositivo do usuário.”

– Artigo Generating a remote notification da Apple.

Conclusão: E se aplicativos não estivessem em conformidade com a LGPD e o GDPR por causa das notificações push?

A ressalva é que essas empresas podem ser obrigadas a fornecer esses dados mediante solicitações de governos ou autoridades policiais.

Este é um ótimo momento para indicar que você use serviços de mensagens criptografadas para suas necessidades de texto. O conteúdo criptografado não aparecerá nos dados que terceiros recebem da Apple e do Google, então os governos realmente não conseguirão ler suas iMessages, textos Rich Communication Services (RCS), ou alertas do WhatsApp, por exemplo. No entanto, se eles interceptarem notificações push de alertas não criptografados, como mensagens enviadas usando SMS ou uma Direct Message (DM) do Instagram não criptografada.

E se aplicativos para iOS e Android não estivessem em conformidade com a LGPD e o GDPR por causa das notificações push?

Referências Bibliográficas:

APPLE. Generating a remote notification. Disponível em: https://developer.apple.com/documentation/usernotifications/setting_up_a_remote_notification_server/generating_a_remote_notification. Último acesso 08 dez. 2023.

APPLE. Legal Process Guidelines: Government & Law Enforcement within the United States. Disponível em: https://developer.apple.com/documentation/usernotifications/setting_up_a_remote_notification_server/generating_a_remote_notification. Último acesso 08 dez. 2023.

BLOG DAVID LIBEAU.FR. Push notifications are a privacy nightmare. Disponível em: https://blog.davidlibeau.fr/push-notifications-are-a-privacy-nightmare. Último acesso 08 dez. 2023.

CNN Business. Foreign governments may be spying on your smartphone notifications, senator says. Disponível em: https://edition.cnn.com/2023/12/07/tech/apple-google-notifications-ron-wyden/index.html. Último acesso 08 dez. 2023.

FORBES. Foreign Governments Spying On Phone Push Notification Data, Senator Claims. Disponível em: https://www.forbes.com/sites/emmawoollacott/2023/12/07/us-government-secretly-demanding-phone-data-senator-claims/?sh=70ad3f7fe0da. Último acesso 08 dez. 2023.

REUTERS. Governments spying on Apple, Google users through push notifications – US senator. Disponível em: https://www.reuters.com/technology/cybersecurity/governments-spying-apple-google-users-through-push-notifications-us-senator-2023-12-06. Último acesso 08 dez. 2023.

UNITED STATES SENATE. Wyden letter to Department of Justice regarding notification surveillance. Disponível em: https://www.documentcloud.org/documents/24191267-wyden_smartphone_push_notification_surveillance_letter_to_doj_-_signed. Último acesso 08 dez. 2023.

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *