Como os navegadores do Alibaba estão coletando a atividade de milhões de usuários

Reprodução/Forbes
Reprodução/Forbes

O negócio do Alibaba é alimentado por publicidade que, por sua vez, é alimentada por enormes quantidades de dados de usuários

Se você fosse baixar o aplicativo UC Browser de propriedade do Alibaba este mês, seja na Google Play Store, do Google, ou na Apple Store, teria sido prometido que, com seu modo “incógnito”, nenhuma navegação na web ou histórico de pesquisa seria registrado. Essas garantias, junto com promessas de tempos de download rápidos, tornaram o aplicativo, criado pela subsidiária da Alibaba UCWeb, incrivelmente popular em todo o mundo, com 500 milhões de downloads apenas no Android.

Embora muitas pessoas possam não ter ouvido falar da plataforma, uma análise indica que ele é o quarto maior navegador em número de usuários do mundo, em grande parte devido à grande base de usuários na Ásia. Antes de sua proibição pelo governo indiano por questões de segurança relacionadas a aplicativos chineses, o app era um dos navegadores mais populares da Índia.

LEIA TAMBÉM: Fundador do Alibaba perde título de mais rico da China

No entanto, as promessas de privacidade feitas pela UCWeb são enganosas, de acordo com o pesquisador de segurança Gabi Cirlig. Suas descobertas, verificadas pela Forbes por dois outros pesquisadores independentes, revelam que nas versões Android e iOS do UC Browser, todos os sites que um usuário visita, independentemente de estarem no modo anônimo ou não, são enviados para servidores pertencentes à UCWeb. Cirlig disse que os endereços IP – que podem ser usados ​​para obter a localização aproximada de um usuário até a cidade ou vizinhança do usuário – também estão sendo enviados para servidores controlados pelo Alibaba.

Esses servidores foram registrados na China, e carregavam a extensão de nome de domínio chinês .cn, mas eram hospedados nos EUA. Um número de ID também é atribuído a cada usuário, o que significa que sua atividade em diferentes sites poderia ser monitorada de forma eficaz pela empresa chinesa, embora ainda não esteja claro o que o Alibaba e sua subsidiária estão fazendo com os dados. “Isso poderia, facilmente, tirar uma impressão digital dos usuários e ligá-los à sua personalidade real”, escreveu Cirlig em uma postagem de blog entregue à Forbes antes da publicação na terça-feira (1).

O pesquisador conseguiu descobrir o problema por meio da engenharia reversa de alguns dados criptografados que ele detectou serem enviados de volta a Pequim. Depois que a chave foi quebrada, Cirlig foi capaz de perceber que toda vez que visitava um site, ela estava sendo criptografada e transmitida de volta para a empresa. No iOS da Apple, ele nem mesmo precisou fazer a engenharia reversa da criptografia porque efetivamente não havia nenhuma no dispositivo (embora tenha sido criptografado quando em trânsito).

“Esse tipo de rastreamento é feito propositalmente, sem qualquer consideração pela privacidade do usuário”, disse Cirlig à Forbes. Quando comparado ao próprio navegador Chrome do Google, por exemplo, ele não transfere os hábitos de navegação do usuário na web quando em modo anônimo. o pesquisador disse que olhou para outros navegadores importantes e descobriu que nenhum era igual ao UC Browser. Ele acrescentou que, embora os cookies possam rastrear os usuários de maneira semelhante, isso é muito diferente de “o navegador obter as URLs, colocá-las em uma pasta e fugir”.

Em um vídeo, Cirlig provou exatamente o que estava acontecendo quando usava o UC Browser, incluindo como um número de identidade exclusivo foi anexado a ele.

Havia outro problema com a versão iOS do aplicativo de propriedade do Alibaba: por não ter sido atualizado depois que a Apple introduziu um recurso na App Store para detalhar as práticas de privacidade de cada aplicativo, a coleta de navegação na web não foi divulgada para o usuário. Na semana passada, porém, uma atualização não especificada e não anunciada na App Store indicou que o rastreamento por meio de identificadores exclusivos e históricos de pesquisa foram incluídos nas informações de privacidade do aplicativo. No entanto, não houve divulgação de monitoramento de navegação na web.

Mas na manhã de terça-feira, a versão em inglês do UC Browser não estava acessível na App Store da Apple, embora uma versão em chinês estivesse disponível. (Cirlig disse que não parecia que a versão estava transmitindo os mesmos dados). Não está claro por que a que estava em inglês foi removida, embora permaneça ativa no Google Play. No momento da publicação, nenhuma das empresas – Alibaba, Apple ou Google – havia fornecido declarações após repetidos pedidos de comentários.

Nicolas Agnese, um pesquisador de cibersegurança baseado na Argentina que validou o que estava acontecendo com o aplicativo UC Web em iPhones, levantou outra questão: embora o iOS fosse “muito seguro” em alguns aspectos, ele estava preocupado que práticas de violação de privacidade pudessem ser permitidas em aplicativos uma vez que eles passem pelo processo de revisão da App Store.

De acordo com uma matéria publicada no site especializado em informática “The Information” em abril, a capitalização de mercado de US$ 600 bilhões do Alibaba tem se preocupado com o recurso App Tracking Transparency da Apple, que permite que os usuários bloqueiem os aplicativos de rastreá-los. O negócio do Alibaba é alimentado por publicidade que, por sua vez, é alimentada por enormes quantidades de dados de usuários. O fato de um de seus aplicativos móveis mais populares estar agora inacessível na Apple App Store é um dos primeiros sinais tangíveis de que a linha dura do fabricante do iPhone quanto à privacidade está causando problemas significativos para empresas como o Alibaba.

Esta não é a primeira vez que gigantes da tecnologia da China foram encontrados rastreando usuários. Os problemas no navegador UC não são diferentes daqueles encontrados por Cirlig no ano passado, quando ele revisou a segurança do navegador da Xiaomi, aplicativo padrão para pesquisas na web nos telefones da companhia. A plataforma fazia quase o mesmo, registrando todos os sites visitados por um usuário, mesmo quando ele estava no modo de navegação anônima.

[A empresa], mesmo que negasse as descobertas dos pesquisadores, mais tarde emitiu uma atualização para o aplicativo, permitindo que os usuários optassem por não participar do que considerou anônimo, coleta de dados agregados. A notícia veio logo depois que Cirlig descobriu que outro desenvolvedor de aplicativos chinês Cheetah Mobile, que está listado na Bolsa de Valores de Nova York, tinha um aplicativo de segurança com um navegador “privado” que estava coletando informações sobre o uso da internet e nomes de pontos de acesso Wi-Fi, entre outros dados. A Cheetah disse que precisava das informações para ajudar a garantir que os usuários não visitassem sites perigosos e que o aplicativo estivesse funcionando corretamente.

Siga FORBES Brasil nas redes sociais:

Facebook
Twitter
Instagram
YouTube
LinkedIn

Siga Forbes Money no Telegram e tenha acesso a notícias do mercado financeiro em primeira mão

Baixe o app da Forbes Brasil na Play Store e na App Store.

Tenha também a Forbes no Google Notícias.

Copyright Forbes Brasil. Todos os direitos reservados. É proibida a reprodução, total ou parcial, do conteúdo desta página em qualquer meio de comunicação, impresso ou digital, sem prévia autorização, por escrito, da Forbes Brasil ([email protected]).