{"id":21368,"date":"2023-06-09T10:04:50","date_gmt":"2023-06-09T13:04:50","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=21368"},"modified":"2023-06-09T10:04:50","modified_gmt":"2023-06-09T13:04:50","slug":"gps-agps-supl-tracking-protection","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/gps-agps-supl-tracking-protection\/21368\/","title":{"rendered":"Os servi\u00e7os de geolocaliza\u00e7\u00e3o est\u00e3o espionando voc\u00ea?"},"content":{"rendered":"

A not\u00edcia de que a Qualcomm \u2014 fornecedora l\u00edder de chips para smartphones \u2014 rastreou<\/a> usu\u00e1rios com seu servi\u00e7o de geolocaliza\u00e7\u00e3o causou uma agita\u00e7\u00e3o na m\u00eddia de tecnologia recentemente. Nesta publica\u00e7\u00e3o, separaremos a verdade do absurdo em toda essa hist\u00f3ria e discutiremos como voc\u00ea pode realmente minimizar o rastreamento de geolocaliza\u00e7\u00e3o indesejado. Antes de mais nada, vamos ver como o geoposicionamento realmente funciona.<\/p>\n

Como os dispositivos m\u00f3veis determinam sua localiza\u00e7\u00e3o<\/h2>\n

O m\u00e9todo tradicional de geolocaliza\u00e7\u00e3o \u00e9 receber um sinal de sat\u00e9lite dos sistemas GPS, GLONASS, Galileo ou Beidou. Usando esse sinal, o receptor<\/em> (o chip no smartphone ou dispositivo de navega\u00e7\u00e3o) executa c\u00e1lculos e identifica sua localiza\u00e7\u00e3o. Este \u00e9 um m\u00e9todo bastante preciso que n\u00e3o envolve a transmiss\u00e3o de nenhuma informa\u00e7\u00e3o pelo dispositivo \u2014 apenas a recep\u00e7\u00e3o. Por\u00e9m, h\u00e1 desvantagens significativas nesse m\u00e9todo de geolocaliza\u00e7\u00e3o: ele n\u00e3o funciona em ambientes fechados e leva muito tempo no caso de o receptor n\u00e3o ser usado diariamente. Isso ocorre porque o dispositivo precisa saber a localiza\u00e7\u00e3o exata dos sat\u00e9lites para que possa realizar o c\u00e1lculo, portanto, ele precisa baixar o chamado almanaque<\/a>, que cont\u00e9m informa\u00e7\u00f5es sobre as posi\u00e7\u00f5es e o movimento dos sat\u00e9lites. A obten\u00e7\u00e3o dessas informa\u00e7\u00f5es leva de cinco a dez minutos baixando diretamente dos sat\u00e9lites.<\/p>\n

Como uma alternativa muito mais r\u00e1pida ao download direto dos sat\u00e9lites, os dispositivos podem baixar o almanaque<\/em> da Internet em segundos por meio de uma tecnologia chamada A-GPS (GPS assistido). De acordo com a especifica\u00e7\u00e3o original, apenas os dados reais do sat\u00e9lite dispon\u00edveis no momento s\u00e3o transmitidos, mas v\u00e1rios desenvolvedores adicionaram uma previs\u00e3o semanal das posi\u00e7\u00f5es dos sat\u00e9lites para acelerar o c\u00e1lculo das coordenadas, mesmo que o receptor n\u00e3o tenha conex\u00e3o com a Internet nos pr\u00f3ximos dias. A tecnologia \u00e9 conhecida como Predicted Satellite Data Service (PSDS<\/a>) e o servi\u00e7o da Qualcomm mencionado acima \u00e9 a implementa\u00e7\u00e3o mais impressionante at\u00e9 o momento. Lan\u00e7ado em 2007, o servi\u00e7o foi denominado \u201cgpsOne XTRA\u201d, renomeado para \u201cIZat XTRA Assistance\u201d em 2013 e, em sua encarna\u00e7\u00e3o mais recente, renomeado novamente como \u201cQualcomm GNSS Assistance Service\u201d.<\/p>\n

Como a recep\u00e7\u00e3o do sinal de sat\u00e9lite funciona em ambientes fechados e o que \u00e9 SUPL<\/h2>\n

Conforme mencionado acima, outro problema com o geoposicionamento usando um sinal de sat\u00e9lite \u00e9 que ele n\u00e3o pode funcionar em ambientes fechados, portanto, h\u00e1 outras formas de determinar a localiza\u00e7\u00e3o de um smartphone. O m\u00e9todo cl\u00e1ssico dos anos noventa \u00e9 verificar quais torres de celular s\u00e3o receb\u00edveis no local atual e calcular a localiza\u00e7\u00e3o aproximada do dispositivo comparando a intensidade do sinal e sabendo a posi\u00e7\u00e3o exata das torres.<\/p>\n

Com pequenas modifica\u00e7\u00f5es, isso tamb\u00e9m \u00e9 suportado por redes LTE modernas. Os smartphones tamb\u00e9m podem verificar hotspots Wi-Fi pr\u00f3ximos e determinar sua localiza\u00e7\u00e3o aproximada. Isso \u00e9 normalmente ativado por bancos de dados centralizados que armazenam informa\u00e7\u00f5es sobre pontos de acesso Wi-Fi e fornecido por servi\u00e7os espec\u00edficos, como o Servi\u00e7o de localiza\u00e7\u00e3o do Google.<\/p>\n

Todos os m\u00e9todos de geoposicionamento existentes s\u00e3o definidos pelo Secure User Plane Location (SUPL), um padr\u00e3o suportado por operadoras de celular e desenvolvedores de smartphones, microchips e sistemas operacionais. Qualquer aplicativo que precise saber a localiza\u00e7\u00e3o do usu\u00e1rio obt\u00e9m informa\u00e7\u00f5es de localiza\u00e7\u00e3o do sistema operacional m\u00f3vel usando a combina\u00e7\u00e3o de m\u00e9todos mais r\u00e1pida e precisa que \u00e9 atualmente dispon\u00edvel.<\/p>\n

Nenhuma garantia de privacidade<\/h2>\n

O acesso aos servi\u00e7os SUPL n\u00e3o necessariamente resulta em uma viola\u00e7\u00e3o da privacidade do usu\u00e1rio, mas os dados geralmente fazem vazar na pr\u00e1tica. Quando seu telefone determina sua localiza\u00e7\u00e3o usando torres de celular pr\u00f3ximas, a operadora de celular sabe exatamente qual assinante enviou a solicita\u00e7\u00e3o e onde ele estava naquele momento. O Google monetiza seus Servi\u00e7os de localiza\u00e7\u00e3o registrando<\/a> a localiza\u00e7\u00e3o e o identificador de usu\u00e1rio; no entanto, isso \u00e9 desnecess\u00e1rio ao n\u00edvel t\u00e9cnico.<\/p>\n

Quanto ao A-GPS, os servidores podem, em teoria, fornecer os dados necess\u00e1rios sem coletar identificadores de assinantes ou armazenar nenhum de seus dados. Por\u00e9m, muitos desenvolvedores fazem as duas coisas. A implementa\u00e7\u00e3o padr\u00e3o do SUPL do Android envia o IMSI do smartphone<\/a> (n\u00famero SIM \u00fanico) como parte de uma solicita\u00e7\u00e3o SUPL. O cliente Qualcomm XTRA no smartphone transmite aos assinantes \u201cidentificadores t\u00e9cnicos<\/a>\u201c, incluindo endere\u00e7os IP. De acordo com a Qualcomm, eles \u201cdesidentificam\u201d os dados, ou seja, eles excluem registros que vinculam identificadores de assinante e endere\u00e7os IP ap\u00f3s 90 dias e, em seguida, os usam exclusivamente para \u201cfins comerciais\u201d determinados.<\/p>\n

Um ponto importante: os dados de uma solicita\u00e7\u00e3o A-GPS n\u00e3o podem ser usados para identificar a localiza\u00e7\u00e3o do usu\u00e1rio.<\/strong> O almanaque dispon\u00edvel no servidor \u00e9 o mesmo em qualquer lugar da Terra \u2014 \u00e9 o dispositivo do usu\u00e1rio que calcula a localiza\u00e7\u00e3o. Em outras palavras, tudo o que os propriet\u00e1rios desses servi\u00e7os podem armazenar s\u00e3o informa\u00e7\u00f5es sobre um usu\u00e1rio que envia uma solicita\u00e7\u00e3o ao servidor em um determinado momento, em vez da localiza\u00e7\u00e3o do usu\u00e1rio.<\/p>\n

As acusa\u00e7\u00f5es contra a Qualcomm<\/h2>\n

As publica\u00e7\u00f5es que criticam a Qualcomm citam a pesquisa<\/a> publicada no site da Nitrokey por algu\u00e9m chamado Paul Privacy<\/em>. A pesquisa sustenta que os smartphones com chips da Qualcomm enviam dados pessoais dos usu\u00e1rios para os servidores da empresa por meio de um protocolo HTTP n\u00e3o criptografado sem o conhecimento deles. Isso supostamente ocorre sem que ningu\u00e9m o controle, pois o recurso \u00e9 implementado no n\u00edvel do hardware.<\/p>\n

Apesar dos problemas de privacidade de dados mencionados acima, dos quais o Qualcomm GNSS Assistance Service sofre, a pesquisa de certa forma assusta e engana os usu\u00e1rios, mesmo que contenha v\u00e1rias imprecis\u00f5es:<\/p>\n