2018/06/12

App Fing acusada de obter indevidamente localização dos utilizadores


A popular app de diagnóstico de rede Fing está a ser acusada de enganar os utilizadores, ao obter a sua localização sem pedir qualquer tipo de consentimento.

A acusação é feita por um investigador de segurança francês, que descobriu que da primeira vez que se executa esta app ela tenta determinar a localização do utilizador através de um pedido ao endereço https://geoip.fing.io/android.php que retorna dados como o nome da cidade, país, latitude e longitude, estimados com base no seu endereço IP.

Actualização: também se aplica à versão iOS, acedendo ao endereço https://geoip.fing.io/ios.php

O investigador considera isto uma violação do GDPR, por ser feito antes de ser pedido qualquer tipo de permissão ao utilizador (e uma vez que é feita mesmo que o utilizador tenha recusado partilhar a informação de localização nas permissões do Android) - mas a verdade é que se trata de um caso de informação estimada que é implicitamente dada a qualquer serviço a que se aceda na web. Sempre que se visita uma página o browser envia o endereço IP do visitante, e isto significa que do lado de lá saibam esta informação sobre o visitante, antes mesmo de lhe poder ser apresentada qualquer informação ou pedido de consentimento - de outra forma teríamos o caso caricato do servidor de destino nem sequer saber o endereço do visitante para onde deveria enviar a pergunta do consentimento!

O mesmo se aplica ao caso dos sites que têm estado a bloquear visitantes europeus para escaparem às preocupações com o GDPR - sendo esse bloqueio feito com base no endereço IP do visitante; pelo que, antes mesmo do utilizador poder ver seja o que for, o servidor já sabe de onde ele vem.

Isto faz com que esta "questão" não seja assim tão gravosa quanto este senhor está a querer fazer passar (na minha óptica, senão a mesma preocupação terá que se aplicar a todas as páginas web que se visitem ou tentem visitar) mas sem dúvida que seria simpático ver os responsáveis da Fing elucidarem os utilizadores quanto ao motivo de procederem a esta passo inicial para determinarem a sua localização.

4 comentários:

  1. O url do geoip.fing.io é com https

    ResponderEliminar
  2. Bem que queremos passar pelos intervalos da chuva, só que como toda a arquitectura web está desenhada é impossível fazer.

    ResponderEliminar
  3. "O mesmo se aplica ao caso dos sites que têm estado a bloquear visitantes europeus para escaparem às preocupações com o GDPR" - esta medida é só parva... porque eu sendo um cidadão europeu em África, nas Américas e afins, estou abrangido pelo RGPD ou GDPR. Daí a esses sites bloquearem os visitantes europeus vale o que vale. Pode prevenir sim, fechar um portão, mas a porta está sempre aberta pois o Regulamento é explícito.

    ResponderEliminar
  4. Olá. Meu nome é Ava - Eu trabalho na Fing. Eu usei o Google Tradutor para traduzir isso, então eu sinto muito se é uma tradução ruim. Por favor, encontre aqui um artigo que detalha nossa conformidade com o GDPR. Se você tiver outras dúvidas, não hesite em nos enviar um e-mail em privacy@fing.io e teremos prazer em discutir isso com mais detalhes com você. https://help.fing.io/knowledge-base/fing-gdpr-compliant/

    ResponderEliminar