O Ministério de Defesa da Lituânia publicou no final de setembro um relatório recomendando aos seus cidadãos que deixem de usar alguns tipos de celulares chineses. Dias depois, sem especificar os motivos, a Alemanha abriu uma investigação sobre os celulares Xiaomi, que no último trimestre se tornou pela primeira vez a marca mais vendida na Europa. As duas decisões foram noticiadas com destaque e puseram a tecnologia chinesa novamente na mira. Mas o desafio vai muito além: afeta todo o ecossistema Android e tem a ver com os aplicativos que vêm pré-instalados em qualquer celular e cujas atualizações, que ninguém controla nem vigia, podem representar um risco para os usuários.
A denúncia que mais chamou a atenção do relatório lituano foi uma lista de 449 palavras em caracteres chineses que o dispositivo podia encontrar e bloquear. Muitas tinham conotações políticas sobre a China: “Tibete livre”, “Movimento democrático 89″, ”Viva Taiwan livre” ou sobre os uigures. Mas também havia termos como nazistas e nomes de grupos terroristas islâmicos. Dias depois, em 27 de setembro, o ministério lituano de Defesa publicou um apêndice com novas palavras, algumas já diretamente em inglês ou espanhol. Nessa lista, a maioria está relacionada a sexo: pornô, pornôs, porn, anal impaler, handjob, underage, hooker, hot video, clitoris, vaginas, fucker – mas também Dalai Lama, marxista e extremismo.
Na lista de palavras em chinês aparecem também nomes como o do extinto grupo separatista basco ETA, da organização esquerdista chilena Frente Patriótica Manuel Rodríguez e do artista dissidente chinês Ai Weiwei. Ao todo, são 1.376 termos. A lista no fundo é pouco sofisticada, mas serviria para encontrar alguém que busca informações politicamente suspeitas sobre a China ou que consome pornografia. O primeiro tipo claramente pode interessar a uma empresa chinesa que precisa seguir diretrizes de seu Governo. Já a restrição à pornografia pode ter conotações políticas ou servir para possíveis chantagens.
O relatório lituano cita poucas provas, mas aponta que esta lista encontrada em dispositivos Xiaomi aparentemente serve para filtrar conteúdo: “Acredita-se que esta função permita a um aparelho Xiaomi realizar uma análise do conteúdo multimídia que entra no telefone do alvo, e depois procurar palavras-chaves baseadas nesta lista enviada para o servidor”, diz o relatório. Uma vez feito isto, o dispositivo pode filtrar conteúdos para que o usuário não os veja. A Lituânia admite que essa função foi “desativada” na União Europeia.
A magnitude real do problema
Há, entretanto, uma frase no relatório original que descreve melhor a real magnitude do problema: “É importante salientar que esta função é ativada remotamente pelo fabricante”. Os aplicativos pré-instalados em celulares Android constituem um dos campos mais opacos do setor, com provas científicas conclusivas a respeito. Os pesquisadores que analisaram este fenômeno no Android não veem nada de surpreendente que um fabricante chinês possa ativar um programa à distância ou modificar sua função graças a uma atualização, sem que o usuário note. Na verdade, seria facílimo fazer isso.
“Em muitos celulares há um software pré-instalado que foi desenvolvido por várias organizações com a capacidade de baixar algo de forma silenciosa, de espionagem a trojans”, diz Narseo Vallina, pesquisador principal da Imdea Networks e coautor de uma investigação pioneira e premiada sobre aplicativos pré-instalados em celulares Android. “Se algum agente da cadeia de suprimentos for comprometido, ou facilitar o acesso a agentes maliciosos, nossos aparelhos poderiam ser afetados”, acrescenta.
O relatório lituano, com sua lista bizarra, pode chamar a atenção em meio à selva dos programas pré-instalados, onde diversas empresas do setor põem a mão, sem que ninguém tenha a responsabilidade individual. Tampouco há uma polícia dos smartphones para vigiá-los. O fabricante, muitas vezes, cede ou permite a instalação de aplicativos que em princípio fazem algo necessário ou razoável, mas que ninguém controla, vigia nem verifica na origem nem em suas futuras atualizações. O celular que compramos pode acabar colhendo dados ou fazendo coisas diferentes meses depois da aquisição, como demonstra a mudança na lista de palavras não permitidas da Xiaomi. Por exemplo, o celular de uma pessoa, chinesa ou estrangeira, que use seu celular Xiaomi para se posicionar publicamente a favor dos uigures ou da independência do Tibete pode de repente começar a enviar dados ou baixar informações sem que o usuário saiba.
“O conceito de ‘instalado de fábrica’ não existe a partir do momento em que as atualizações ocorrem continuamente, desde o momento em que você liga o telefone pela primeira vez”, diz Juan Tapiador, catedrático da Universidade Carlos III de Madri e coautor da investigação com Vallina. “É possível também segmentar os usuários e fazer instalações particulares para grupos deles. Por exemplo, por modelo de aparelho ou por localização geográfica, o que complica ainda mais poder falar sobre o que vem instalado de fábrica num mesmo modelo de aparelho.”
Atualizamos quando queremos
Tapiador e Vallina publicaram neste ano um novo artigo sobre a facilidade com que aplicativos pré-instalados que são básicos para o funcionamento do celular podem ser atualizados, tendo sua função inicial alterada ou adaptada para um novo objetivo: “Quando fizemos o trabalho com os aplicativos pré-instalados, não sabíamos quais estavam lá desde o momento em que o usuário comprou o telefone e quais aterrissaram mais tarde”, observa Tapiador. “No caso das atualizações, são aplicativos do sistema que, por sua própria natureza, têm privilégios muito elevados. A maioria desses privilégios é necessária para que possam funcionar bem, mas também é fácil que haja abusos. Não é algo que se possa resolver simplesmente em nível técnico; uma maior transparência no processo ajudaria a aumentar a confiança e facilitaria a identificação dos abusos”, acrescenta.
Isto não ocorre só em celulares chineses, mas praticamente em todos. “É difícil saber quão difundido está em geral”, diz Juan Caballero, pesquisador do Imdea Software e coautor de um artigo sobre mercados de aplicativos citado no relatório lituano. “Encontramos muitos problemas de privacidade, mas é difícil generalizar para grandes fabricantes de celulares, como Huawei e Xiaomi. Mas há empresas menores que tiveram muitos problemas. Viu-se que claramente era algo sistêmico”, acrescenta.
Um aparelho barato pode ter mais programa pré-instalados porque os fabricantes esperam continuar ganhando dinheiro vendendo os dados de uso dos seus clientes. “Muitos usuários acham que compram o telefone e pronto, mas não é assim”, diz Caballero. “A relação vai além. Para uma parte dos fabricantes, o negócio continua com seus dados, com acordos com terceiros, normalmente no âmbito da publicidade. Os fornecedores chineses e indianos atacam o mercado de baixíssimo custo, com margens minúsculas. Isso afeta sobretudo celulares desses países com aparelhos mais baratos. Não é a única razão, mas é fundamental”, acrescenta.
Por que não é um escândalo enorme
Por que todo este suposto mercado de dados não é mais conhecido e transparente? É uma pergunta complexa. Todos os usuários no fundo precisam do seu Android, sem ter que pensar a todo o momento que podem estar sendo vigiados ou espionados. É o grande gargalo da privacidade: em princípio, poucos têm algo a temer, diz-se. Até que, um dia, alguém pode querer saber detalhes da sua vida porque você cruzou alguma desconhecida linha vermelha.
“Há muitos aspectos sociais, regulatórios e econômicos que podem influir no impacto relativo que este tipo de descoberta pode ter”, diz Vallina. “Por um lado, por exemplo, a forma como o Regulamento Geral de Proteção de Dados define as responsabilidades de cada país no cumprimento da norma deposita essa responsabilidade em países com interesses econômicos contrapostos”, diz.
Embora em nível regulatório o assunto desperte logicamente mais interesse, continua sendo um panorama muito complexo, repleto de interesses contrapostos. “Se falarmos de agentes reguladores é um pouco diferente. Estes sim levam a sério, mas há muitos fornecedores, com muitos modelos e com acordos com entidades terceiras que é de onde vêm muitos problemas”, diz Caballero.
No relatório lituano são citados também problemas observados na loja de aplicativos da Huawei. Quando um usuário não encontra o aplicativo que busca, é mandado a outro mercado, quase sem controle algum. “A Huawei te redireciona para terceiros quando não tem um determinado aplicativo na sua loja. Em nosso último artigo mostramos que nesses mercados de terceiros a probabilidade de você baixar um malware (programa malicioso) ou um programa que potencialmente não quer (PUP, na sigla em inglês) é cinco vezes mais altas do que se baixar da Play Store. Com essa política, a Huawei rebaixa sua segurança e muitos usuários não têm consciência disso”, acrescenta.
Resposta da Xiaomi
Após a publicação deste artigo, a Xiaomi escreveu a EL PAÍS para esclarecer que a empresa “cumpre integralmente todos os requisitos do Regulamento de Proteção de Dados” da União Europeia e que seus dispositivos “não restringem ou filtram as comunicações de ou para nossos usuários “. Este jornal perguntou à Xiaomi se eles confirmavam que essas afirmações se estendiam totalmente ao software de terceiros que inclui seus dispositivos de fábrica. Outra porta-voz da empresa na Espanha respondeu que eles não tinham nada a dizer sobre o assunto, assim como o resto do setor. O conteúdo deste artigo sobre a responsabilidade final dos aplicativos pré-instalados no ecossistema Android, portanto, permanece obscuro.
Fonte: Brasil El País