A Apple está longe de ser perfeita na proteção dos dados de seus usuários

A opinião é de Alex Stamos, ex-diretor de segurança do Facebook. E foi emitida em uma sequência de tweets logo após o keynote de Tim Cook, CEO da Apple, na 40th International Conference of Data Protection and Privacy Commissioners (#ICDPPC2018), nesta quarta-feira.

"Concordo com quase tudo o que Tim Cook mencionou em seu discurso de privacidade hoje, e é por isso que é tão triste ver a mídia cobrindo suas declarações com credibilidade sem o contexto das ações da Apple na China", escreveu Stamos, antes de passar a criticar notícias publicadas por grandes jornais americanos.

De que contexto ele fala?

"A Apple precisa esclarecer como o iCloud trabalha na China e parar de criar precedentes prejudiciais para a disposição das empresas americanas em atender aos desejos de segurança interna do Partido Comunista Chinês", prosseguiu Stamos.

Ele acusa a Apple de usar DRM com base em hardware para impedir que usuários chineses instalem os aplicativos de mensagens VPN e E2E, o que permitiria evitar a censura e a vigilância generalizadas. E de transferir os dados do iCloud para uma joint venture controlada pela RPC, com impactos pouco claros.

"A China é um ponto cego ético para muitos na tecnologia: ignoramos as condições de trabalho sob as quais nossos belos dispositivos são fabricados, a censura e a vigilância necessárias para enviar os aplicativos para lá, as externalidades ambientais das fazendas chinesas de Bitcoin movidas a carvão", tuitou o ex-CSO do Facebook.

Apesar dessa contradição apontada por Stamos, ele afirma que Cook está certo: os EUA precisam de uma forte lei de privacidade, semelhantes ao GDRP, e empresas de publicidade como Google, Facebook e Twitter precisam coletar menos dados e minimizar com mais frequência.

A aprovação de uma lei federal de proteção de dados que se sobreponha às legislações estaduais sobre o tema, como a aprovada recentemente na Califórnia, é um tema polêmico nos Estados Unidos, já abordado aqui no blog. Os mais críticos dizem que há um risco real de uma colcha de retalhos regulatória que dificulte a vida das empresas que tentam operar através das fronteiras estaduais.

As empresas de tecnologia, e seus grupos de lobby em Washington, estão apoiando os esforço de aprovação de uma lei federal, em parte devido ao desejo de impedir que os estados aprovem seus próprios regulamentos de coleta de dados, mais duros e restritivos. A Califórnia, por exemplo,  aprovou uma nova e abrangente lei de privacidade que, como o GDPR, dá às pessoas o direito de exigir que as empresas informem quais dados pessoais estão sendo armazenados, por que estão sendo armazenadas e com quem estão sendo compartilhadas. Os consumidores poderão exigir que seus dados sejam excluídos também.

Em seu discurso na #ICDPPC2018, o CEO da Apple advertiu contra as consequências negativas da coleta de grandes quantidades de dados pelas empresas de tecnologia para seus esforços de Inteligência Artificial e publicidade.

Cook também usou o seu keynote para criticar amplamente as empresas de tecnologia e seu papel no atual clima político. "Plataformas e algoritmos que prometeram melhorar nossas vidas podem realmente ampliar nossas piores tendências humanas", disse ele.

Sem mencionar nenhum dos concorrentes da Apple pelo nome, descreveu partes do setor de tecnologia como um "complexo industrial de dados" que usa dados pessoais "com eficiência militar".

"Levado ao extremo, esse processo cria um perfil digital duradouro que permite que as empresas o conheçam melhor do que você pode se conhecer", disse Cook.

"Em muitas jurisdições, os reguladores estão fazendo perguntas difíceis", disse Cook. "É hora de o resto do mundo, incluindo meu país de origem, seguir sua liderança", completou.

Para defender os cidadãos, o CEO da Apple aconselha os reguladores a observarem quatro princípios básicos para a proteção de dados na futura legislação:

1 – que as empresas devam evitar coletar dados ou separar dados de informações pessoalmente identificáveis, quando possível;

2 – que os usuários devam estar cientes dos dados que estão sendo coletados sobre eles;

3 – que as empresas devam fornecer ferramentas aos usuários para mover e excluir seus dados;

4 – e que os dados pessoais devam ser mantidos em segurança.

Curiosamente, na semana passada a Apple liberou para usuários dos EUA e do Canadá o acesso ao
seu portal de privacidade, lançado em maio para demonstrar a conformidade com o GDPR.

Nesse portal os usuários do iOS podem visualizar e baixar todos os dados que já foram armazenados nos servidores da Apple. Os dados pessoais incluem o ID da Apple, as atividades na Apple App Store, o histórico do AppleCare e imagens, vídeos e documentos armazenados no iCloud.

A Apple também atualizou sua página de privacidade , concentrando-se nos novos recursos que vêm com o macOS Mojave e o iOS 12, como Screen Time e Intelligent Tracking Prevention.

Além dos EUA e Canadá, o novo recurso também está disponível em países como Austrália, Canadá, Islândia, Liechtenstein, Nova Zelândia, Noruega e Suíça.

Vale lembrar que Tim Cook tem feito questão de distanciar a Apple dos escândalos recentes envolvendo o Facebook e o Google, destacando como as práticas de negócios de sua empresa são distintas das dos outros gigantes do Vale do Silício.

"A coisa da privacidade ficou totalmente fora de controle", disse o executivo recentemente  à CNN. "Acho que a maioria das pessoas não sabe quem as está acompanhando, o quanto estão sendo rastreadas e os grandes volumes de dados detalhados que estão por aí sobre eles".

Na opinião de Cook, alguns na indústria de tecnologia se oporão a qualquer legislação de privacidade sob o pretexto de que a tecnologia nunca poderá atingir seu pleno potencial sem a coleta de dados. E questionou novos algoritmos de software baseados em IA, alguns dos quais estão sendo treinados por meio da varredura de dados pessoais das pessoas.

"Avançar com a IA colecionando perfis pessoais enormes é a preguiça, não a eficiência", disse ele, acrescentando. "Não alcançaremos o verdadeiro potencial da tecnologia sem a plena fé e confiança das pessoas que a utilizam."

Então, está…

Seria bom a Apple começar a aumentar seus controles dentro do seu próprio ecossistema… Recentemente, pesquisadores descobriram aplicativos obscuros na Apple Store que roubam e enviam secretamente dados de usuários para servidores na China.

Primeiro, foi o aplicativo Adware Doctor, de varredura de segurança – listado na quarta posição na lista de aplicativos pagos da Mac App Store até ser removido – que estava "roubando" os arquivos e a privacidade dos usuários.

O pesquisador de segurança Privacy1st forneceu provas em vídeo e o pesquisador de segurança Patrick Wardle fez uma análise detalhada de como o Adware Doctor secretamente exfiltrava os arquivos confidenciais e o histórico do navegador dos usuários e os enviava para um servidor na China.

Privacy1st, Wardle e Thomas Reed, do Malwarebytes Labs, descobriram que vários outros aplicativos da Mac App Store oficial tinham o mesmo comportamento malicioso do Adware Doctor. Entre eles o Dr. Antivirus, o Dr. Cleaner, o Dr. Unarchiver e o Open Any Files: RAR Support.

Depois de um longo atraso de não fazer nada quando os aplicativos foram relatados, a Apple está agindo e removendo os aplicativos que roubam dados e privacidade.

"É incrivelmente óbvio neste momento que a Mac App Store não é o refúgio seguro de software respeitável que a Apple quer que seja", escreveu Reed. "Recomendo fortemente que você trate a App Store como faria com qualquer outro local de download: como potencialmente perigoso. Seja cauteloso com o que você baixar. Um aplicativo gratuito da App Store pode parecer perfeitamente inocente e inofensivo, mas se você precisar dar a esse aplicativo acesso a qualquer um dos seus dados como parte de sua funcionalidade esperada, não saberá como ele usará esses dados. Pior, mesmo que você não conceda acesso, poderá encontrar uma brecha e ter acesso a dados confidenciais de qualquer maneira".