A Symantec descobriu esta semana que o aplicativo oficial do Facebook para Android coleta o número do telefone do aparelho assim que ele é executado e o envia para os servidores do Facebook. Como este processo não requer login, o usuário fica impossibilitado de consentir ou não o envio.
Segundo a Symantec, antes mesmo do usuário logar na conta o número do telefone será enviado através da Internet para os servidores do Facebook. Não é necessário nenhuma outra ação e nenhuma permissão é requisitado. Nem mesmo um alerta sobre o envio é exibido. Muitos aparelhos Android vêm com o aplicativo pré-instalado e também não é necessário ter uma conta no Facebook para que o número do telefone seja transmitido.
Uma publicação no site ZDNet da jornalista “Violet Blue”, declara que “combinado com outros mecanismos do aplicativo, é impossível não considerar a opinião de que ele (o aplicativo) está agindo como spyware.” Ela ainda afirma: “As outras permissões do aplicativo são igualmente preocupantes e nos ajuda a compreender o que está indo parar nos nossos perfis sombra.”
Algumas das permissões do aplicativo são: gravar áudio e vídeo; fazer download de arquivos sem notificar; verificar o número do telefone e IMEI; saber quando uma chamada está ativa e qual o número remoto que está conectado àquela chamada; modificar os dados dos contatos, a frequência das chamadas realizadas, e-mails enviados ou qualquer outra forma de comunicação com contatos específicos; deletar dados de contatos; ler o registro de chamadas, incluindo dados sobre chamadas recebidas e realizadas e ler os dados dos contatos armazenados no telefone.
A gigante das redes sociais confirmou o problema e avisou que irá providenciar uma correção na próxima atualização do aplicativo. Porém, ainda não há previsão oficial.
Perfis sombra
Na semana passada, a empresa de segurança Packet Storm Security descobriu um vazamento de dados do Facebook que expôs informações de contato de seis milhões de usuários, quando a ferramenta “Baixe suas informações” acidentalmente combinou, no relatório da ferramenta, as informações do usuário com as informações de contato de um segundo perfil do mesmo usuário. Foi quando descobriram que o Facebook armazenava um “perfil sombra” de cada participante da rede.
Os dados ficaram expostos por pelo menos um ano. Usuários ficaram revoltados e alegaram que as informações de contato que eles explicitamente não forneceram ao Facebook foram coletas e armazenadas fazendo referência cruzada através do catálogo de endereços dos amigos.
No mesmo dia em que a Symantec divulgou que o aplicativo estava coletando os números dos telefones, a Packet Storm Security publicou que o problema afetou pessoas que nem usam o Facebook, porque o “perfil sombra” é criado mesmo para aqueles que não possuem qualquer relação com o Facebook.
A Packet Storm Security também alega que o Facebook enganou seus usuários no e-mail que eles enviaram para avisá-los sobre o vazamento. “Em um caso, eles afirmaram que o e-mail adicional ficou à mostra, enquanto que na verdade, quatro tipos de dados ficaram à mostra. Para uma outra pessoa, eles apenas disseram que três de quatro informações ficaram à mostra. Não parece que eles vão tomar nenhuma providência extra para explicar a real magnitude da exposição e nós suspeitamos que os números são muito maiores”, disse a empresa.
O Facebook afirmou, no entanto, que os dados coletados pelo app sem autorização não fazem parte desses perfis, porque todas as informações já teriam sido apagadas.
Linha Defensiva 