A notícia de que a Qualcomm, fornecedora líder de chips para smartphones, rastreou usuários com seu serviço de geolocalização causou um pequeno rebuliço na imprensa de tecnologia recentemente. Neste post, vamos separar a verdade do absurdo nessa história e discutir como você pode realmente minimizar o rastreamento indesejado de geolocalização. Em primeiro lugar, vamos ver como o geoposicionamento realmente funciona.
Como os dispositivos móveis determinam sua localização
O método tradicional de geolocalização é receber um sinal de satélite dos sistemas GPS, GLONASS, Galileo ou Beidou. Usando esses dados, o receptor (o chip no smartphone ou dispositivo de navegação) realiza cálculos e identifica sua localização. Este é um método bastante preciso que não envolve a transmissão de nenhuma informação pelo dispositivo – apenas a recepção. Mas há desvantagens significativas nesse método de geolocalização: ele não funciona em ambientes fechados e leva muito tempo se o receptor não for usado diariamente. Isso porque o aparelho precisa saber a localização exata dos satélites para poder realizar o cálculo, por isso tem que baixar o chamado almanaque, que contém informações sobre posições e movimentos dos satélites, e isso leva entre cinco e dez minutos. para recuperar se baixar diretamente do satélite.
Como uma alternativa muito mais rápida para baixar diretamente do satélite, os dispositivos podem baixar o almanaque da internet em segundos por meio de uma tecnologia chamada A-GPS (GPS assistido). De acordo com a especificação original, apenas os dados reais de satélite disponíveis no momento são transmitidos, mas vários desenvolvedores adicionaram uma previsão semanal das posições dos satélites para acelerar o cálculo das coordenadas, mesmo que o receptor não tenha conexão com a Internet nos próximos dias. A tecnologia é conhecida como Predicted Satellite Data Service (PSDS), e o serviço Qualcomm mencionado acima é a implementação mais impressionante até o momento. Lançado em 2007, o serviço foi denominado “gpsOne XTRA”, renomeado para “IZat XTRA Assistance” em 2013 e, em sua encarnação mais recente, renomeado novamente como “Qualcomm GNSS Assistance Service”.
Como funciona a recepção do sinal de satélite em ambientes fechados e o que é SUPL
Como mencionado acima, outro problema com o geoposicionamento usando um sinal de satélite é que ele pode não estar disponível em ambientes fechados, portanto, existem outras maneiras de determinar a localização de um smartphone. O método clássico dos anos noventa é verificar quais estações base de celular podem ser recebidas no local atual e calcular a localização aproximada do dispositivo comparando a intensidade do sinal sabendo a posição exata das estações.
Com pequenas modificações, isso também é suportado por redes LTE modernas. Os smartphones também podem verificar pontos de acesso Wi-Fi próximos e determinar sua localização aproximada. Isso geralmente é ativado por bancos de dados centralizados que armazenam informações sobre pontos de acesso Wi-Fi e fornecidos por serviços específicos, como o Google Location Service.
Todos os métodos de geoposicionamento existentes são definidos pelo SUPL (Secure User Plane Location). , um padrão suportado por operadoras móveis e desenvolvedores de smartphones, microchips e sistemas operacionais. Qualquer aplicativo que precise saber a localização do usuário a obtém do sistema operacional móvel usando a combinação de métodos mais rápida e precisa atualmente disponível.
Sem privacidade garantida
O acesso aos serviços SUPL não precisa resultar em violação da privacidade do usuário, mas, na prática, os dados geralmente vazam. Quando seu telefone determina sua localização usando estações base celulares próximas, a operadora móvel sabe exatamente qual assinante enviou a solicitação e onde eles estavam naquele momento. O Google monetiza seus serviços de localização registrando a localização e o identificador do usuário; no entanto, tecnicamente isso é desnecessário.
Quanto ao A-GPS, os servidores podem, em teoria, fornecer os dados necessários sem coletar identificadores de assinantes ou armazenar qualquer um de seus dados. No entanto, muitos desenvolvedores fazem as duas coisas. A implementação padrão do Android do SUPL envia o smartphone IMSI (número SIM exclusivo) como parte de uma solicitação SUPL. O cliente Qualcomm XTRA no smartphone transmite aos assinantes “identificadores técnicos”, incluindo endereços IP. Segundo a Qualcomm, eles “desidentificam” os dados; ou seja, eles excluem registros que vinculam identificadores de assinantes e endereços IP após 90 dias e os usam exclusivamente para determinados “fins comerciais”.
Um ponto importante: os dados de uma solicitação A-GPS não podem ser usados para definir a localização do usuário . O almanaque disponível no servidor é o mesmo em qualquer lugar da Terra — é o dispositivo do usuário que calcula a localização. Em outras palavras, tudo o que os proprietários desses serviços podem armazenar são informações sobre um usuário enviando uma solicitação ao servidor em um determinado momento, mas não a localização do usuário.
As acusações contra a Qualcomm
Publicações que criticam a Qualcomm estão citando pesquisas de uma certa pessoa que atende pelo nome de Paul Privacy publicada no site da Nitrokey. O jornal afirma que os smartphones com chips Qualcomm enviam dados pessoais dos usuários para os servidores da empresa por meio de um protocolo HTTP não criptografado sem o seu conhecimento. Isso supostamente ocorre sem que ninguém o controle, pois o recurso é implementado no nível do hardware.
Apesar dos problemas de privacidade de dados mencionados anteriormente, dos quais sofrem os serviços de assistência Qualcomm GNSS, a pesquisa assusta e engana os usuários, embora contenha uma série de imprecisões:
- Em smartphones antigos, as informações de fato poderiam ter sido transmitidas por HTTP inseguro, mas em 2016 a Qualcomm corrigiu essa vulnerabilidade do XTRA.
De acordo com o contrato de licença, informações como uma lista de os aplicativos podem ser transmitidos através dos serviços XTRA, mas os testes práticos (inspeção de pacotes e estudo do código-fonte do Android) não mostraram nenhuma prova de que isso realmente aconteça.
Proteção contra espionagem: para todos e para os mais cautelosos
Portanto, a Qualcomm (provavelmente) não nos rastreia. Dito isso, o rastreamento via geolocalização é possível, mas em um nível totalmente diferente: aplicativos meteorológicos e outros programas aparentemente inofensivos que você usa no dia-a-dia fazem isso sistematicamente. O que sugerimos que todos devem fazer é uma coisa simples, mas importante: minimizar o número de aplicativos que têm acesso à sua localização. Afinal, você pode escolher um local manualmente para obter a previsão do tempo, e inserir um endereço de entrega ao fazer compras on-line não é grande coisa.
Aqueles de vocês que desejam evitar que sua localização seja logado em qualquer lugar deve tomar várias medidas extras de proteção:
- Desative todos os serviços de geolocalização, exceto o bom e velho GPS em seu smartphone .
- Use ferramentas avançadas para impedir que seu telefone acesse os serviços SUPL. Dependendo do modelo do smartphone e do tipo de sistema operacional, isso pode ser feito filtrando o servidor DNS, um firewall do sistema, um roteador de filtragem ou configurações dedicadas do smartphone.
- É melhor evitar o uso de celulares… completamente! Mesmo se você fizer todos os itens acima, a operadora móvel ainda saberá sua localização aproximada a qualquer momento.
