Google muda domínio do Maps para ampliar rastreamento geográfico de usuários

Alguns usuários que costumam usar os serviços do Google, como o Maps, têm notado recentemente que o domínio do serviço mudou. Um deles é o desenvolvedor Garrit Franke, que tem visto a URL padrão ‘maps.google.com’ ser trocada pelo ‘google.com/maps’ e sem qualquer notificação da companhia. Embora sutil, a mudança traz consequências sérias à privacidade de todos os usuários – incluindo em dispositivos não móveis – que usem qualquer produto sob domínio da gigante.

Imagem: reprodução/Analytics India Magazine

A exposição da ‘jogada inteligente’ do Google, para ampliar a coleta de dados aproveitando-se de uma área cinzenta, foi reportada primeiramente por Franke, que conta rapidamente em um texto de blog como percebeu a mudança.

“Ontem me pediram para permitir o uso dos serviços de localização para o Google Maps, aparentemente do nada. É claro que eu aceitei. Afinal de contas, eu só queria verificar uma rota para uma empresa local e estava com pressa. De volta para casa, abri novamente o Google Maps e notei que o maps.google.com agora é redirecionado para google.com/maps.”, escreveu. Ao modificar o domínio, uma permissão dada a um serviço como o Maps é automaticamente aplicada a todos os outros serviços da companhia hospedados sob este domínio.

Imagem: reprodução/Analytics India Magazine

“Até agora só identifiquei Google Flights por ter feito a mesma mudança (google.com/flights), embora eu tenha certeza de que eles estão apenas começando a transferir seus serviços para o domínio principal do google.com.”, completa o desenvolvedor.

Com a prática, a coleta de dados pela companhia atinge qualquer usuário de todo e qualquer serviço que esteja hospedados no ‘google.com’. Embora informações do site Hacker News afirme que o domínio ao qual Franke foi redirecionado após consultar o endereço de uma empresa local tenha existido, o maps.google.com e google.com têm faixas distintas de permissão. Desta forma, sem qualquer notificação que alerte o usuário sobre a mudança e os impactos que ela acarreta à privacidade, a maioria deles pode não estar completamente ciente disso.

Preocupações de privacidade, GDPR e área cinzenta

Para entender por que esta é uma séria preocupação de privacidade para os usuários, é preciso primeiro analisar como os domínios funcionam. Existem dois tipos de sistemas de gerenciamento de diretório web: subdomínios e subdiretórios.

Imagem: Brett Jordan/Unsplash

Os subdomínios são tratados como filhos do domínio dos pais, mas existem fora do domínio principal dentro de uma partição diferente. Os subdiretórios, por outro lado, são tratados como parte do domínio principal, uma vez que não passam de uma página sob o domínio.

Por exemplo, o Google estava usando anteriormente um subdomínio para o Google Maps, como visto por sua URL ‘maps.google.com’. Agora, eles passaram a usar um subdiretório, com a URL mudando para ‘google.com/maps’.

Isso significa que o pop-up de permissão que aparece quando um site está tentando acessar a câmera, microfone ou localização do usuário, só precisa ser aceito uma vez em toda a vasta gama de serviços do Google. Então, a empresa estender essas permissões para todos os seus serviços sem tenha que pedir novamente aos usuários.

Como mostrado abaixo, o microfone do usuário pode ser acessado a partir da página de busca do Google, com permissões de câmeras concedidas pelo Google Meet. O acesso à localização pode ser concedido pelo Maps, o que provavelmente permitirá ao mecanismo de busca rastrear a localização do usuário mesmo que ele não tenha dado permissão específica para isso, ou outras aplicações.

Imagem: reprodução/Analytics India Magazine

Na prática, isso contorna a linha da legalidade quando se trata de regulamentos proeminentes de proteção de dados como a General Data Protection Regulation (GDPR) e a Lei Americana de Proteção e Privacidade de Dados.

A lei de proteção de dados da UE afirma que a política de privacidade do provedor menciona claramente uma explicação de que a empresa deve solicitar autorização para acesso à câmera e ao microfone. Além disso, a empresa também deve fornecer uma explicação de seus propósitos para solicitar o acesso à câmera. Entretanto, a Política de Privacidade do Google não fornece nenhuma clareza sobre esses assuntos.

Além disso, os dados de localização são considerados como dados pessoais sob GDPR, sendo que uma grande parte do regulamento é aplicável a eles. Na Política de Privacidade do Google Chrome, o Google tem uma seção sobre como determina a localização dos usuários e para que serve. Entretanto, embora especifiquem que não permitirão que um site acesse a localização dos usuários sem permissão, eles também declaram que enviam dados para o Google Location Services para determinar a localização do usuário. Estes dados consistem em informações sobre roteadores Wi-Fi próximos, IDs de células de torres de celular próximas ao usuário e o endereço IP do usuário.

‘Jogada inteligente, Google’

Qualquer usuário que deseja usar o Google Maps para um curto trecho de navegação será agora solicitado a dar permissão ao Google para acessar sua localização. Ao fornecê-la, a empresa pode acessar estes dados a qualquer momento pela nova estrutura de domínio, permitindo georreferenciar o usuário a qualquer momento que tenham um site do Google aberto.

Imagem: Suzy Brooks/Unsplash

Com a implementação encoberta da Apple de rastreamento de usuários, isso mostra uma tendência perturbadora no setor de tecnologia, no qual as empresas estão rastreando os usuários, operando em áreas cinzentas das regulamentações.

O lado mais sinistro, entretanto, é o fato de que estas mudanças foram feitas sem nenhuma notificação aos usuários, criando outro tesouro de dados de vigilância sem supervisão para os gigantes da tecnologia para monetizar usando publicidade. Como Franke ironizou, uma “Jogada inteligente, Google.”

Com informações Garrit’s Notes, Analytics India Magazine e Softantenna