.
Cientistas da computação afiliados à Universidade de Guelph, no Canadá, descobriram que os serviços de conserto de eletrônicos carecem de protocolos de privacidade eficazes e que os técnicos costumam bisbilhotar os dados dos clientes.
Em um estudo de pesquisa em quatro partes distribuído via ArXiv, “Sem privacidade na indústria de conserto de eletrônicos”, os pesquisadores da Universidade de Guelph, Jason Ceci, Jonah Stegman e Hassan Khan, descrevem como testaram as políticas e práticas de privacidade das oficinas de conserto de eletrônicos.
A pesquisa consistiu em uma pesquisa de campo com 18 provedores de serviços de reparo na América do Norte – três nacionais, três regionais e cinco locais, bem como dois provedores nacionais de serviços de reparo de smartphones e cinco fabricantes de dispositivos.
Representantes dessas empresas – não identificados no estudo como consequência dos requisitos de revisão ética da universidade canadense – foram questionados para determinar se eles têm políticas de privacidade e como tratam os dados dos clientes.
Em seguida, o pessoal de reparo foi solicitado a substituir a bateria dos laptops Asus UX330U com Microsoft Windows 10 – uma correção que não deve exigir credenciais de login ou acesso ao sistema operacional. No entanto, todas as empresas, exceto uma, pediram credenciais de login.
“Nenhum dos provedores de serviços postou qualquer aviso informando os clientes sobre suas políticas de privacidade”, diz o jornal. “Da mesma forma, até que os dispositivos fossem entregues, nenhum pesquisador foi informado sobre uma política de privacidade, seus direitos como cliente ou como proteger seus dados.”
E uma vez que os laptops foram fornecidos, apenas os três provedores de serviços nacionais e três regionais ofereceram um documento de termos e condições para ser assinado. Pior ainda, esses contratos isentavam-se de responsabilidade por qualquer perda de dados.
Eu quero saber porque?
Depois de avaliar as políticas de privacidade dessas oficinas, os pesquisadores testaram as práticas reais de privacidade dos técnicos, fornecendo a eles laptops Windows equipados com dados fictícios para registrar secretamente como a equipe de reparos usava os dispositivos.
Os resultados não foram animadores: seis dos dezesseis técnicos bisbilhotaram os dados dos clientes e, em dois dos 16 testes, copiaram os dados dos clientes para dispositivos externos. Entre esses seis bisbilhoteiros, um técnico o fez de forma a evitar a geração de evidências, enquanto outros três tomaram medidas para ocultar suas atividades – os logs do dispositivo mostram que os técnicos infratores tentaram ocultar seus rastros apagando itens no “Acesso rápido” ou “Recentemente Arquivos acessados” no Microsoft Windows.
Em entrevista por telefone, Jason Ceci – pesquisador de segurança e coautor do artigo – disse Strong The One que as violações de privacidade mencionadas no jornal consistiam principalmente em bisbilhotar as fotos dos clientes.
“Alguns deles estavam apenas examinando o histórico de navegação de alguém”, disse Ceci. “E então, em dois dos casos, eles estavam realmente copiando os dados do dispositivo. Em um desses dois casos, acredito, eles estavam analisando dados financeiros.”
Ceci disse que as oficinas avaliadas não foram identificadas no estudo e que também não foram informadas das descobertas dos pesquisadores. “Se disséssemos a eles que iríamos examinar os registros e o que eles fariam depois, ficaríamos preocupados com uma possível reação dos pesquisadores que estavam [dropping the rigged devices off and providing personal information],” ele explicou.
As outras partes do estudo envolveram uma pesquisa online e entrevistas com consumidores para entender melhor como eles interagiam com os serviços de reparo. Os dados obtidos sugerem que cerca de um terço dos dispositivos quebrados não são reparados devido às preocupações com a privacidade de seus proprietários.
Ceci e seus co-autores argumentam que há uma necessidade extrema de avaliar políticas e práticas de privacidade na indústria de reparos, que gera US$ 19 bilhões anualmente. Eles citam relatórios sobre violações de privacidade anteriores – como alegações de que os técnicos do Geek Squad da Best Buy serviram como informantes para o FBIbem como relata que Maçã e Esquadrão Geek técnicos foram acusados de roubar fotos de nus encontradas em aparelhos trazidos para conserto.
Ceci disse que os reguladores devem olhar para a indústria de reparos e considerar esclarecer as regras de privacidade para reparos de dispositivos. Ele também reiterou um ponto feito no trabalho de pesquisa sobre os fabricantes de dispositivos adotando uma abordagem mais proativa para padronizar interfaces e permissões de diagnóstico. Ele apontou para o recém-lançado “Modo de reparo” – uma forma de proteger os dados do dispositivo durante os reparos – como um exemplo do tipo de proteção de privacidade que os fabricantes de dispositivos devem considerar. ®
.
