O desenvolvedor do ICEBlock, um aplicativo iOS para relatar anonimamente avistamentos de oficiais do Serviço de Imigração e Controle de Alfândega dos EUA (ICE), promete que “garante a privacidade do usuário ao não armazenar dados pessoais.” Mas essa afirmação foi questionada. O criador do ICEBlock, Joshua Aaron, foi acusado de fazer promessas falsas sobre a anonimidade e privacidade do usuário, sendo “mal orientado” sobre a privacidade oferecida pelo iOS e de ser um fã da Apple. O problema não é o que o ICEBlock armazena. É sobre o que ele poderia revelar acidentalmente através de sua integração estreita com o iOS.
Aaron lançou o ICEBlock no início de abril, e ele disparou para o topo da App Store no início deste mês, após a Secretária de Segurança Interna dos EUA, Kristi Noem, chamá-lo de “obstrução da justiça.” Quando pedidos por uma versão Android se seguiram, no entanto, o desenvolvedor disse que não era possível. “Nosso aplicativo é projetado para fornecer o máximo de anonimato possível sem armazenar dados do usuário ou criar contas,” diz parte da longa mensagem. “Alcançar esse nível de anonimato no Android não é viável devido aos requisitos inerentes dos serviços de notificação por push.”
A declaração irritou alguns. Os desenvolvedores do GrapheneOS, uma versão do Android focada em privacidade e de código aberto, foram ao BlueSky acusar o ICEBlock de “espalhar desinformação sobre o Android” ao descrevê-lo como menos privado que o iOS. Os desenvolvedores disseram que o ICEBlock ignora os dados mantidos pela própria Apple e afirma que “fornece total anonimato quando não o faz.”
Aaron disse ao The Verge que o ICEBlock é construído em torno de um único banco de dados no iCloud. Quando um usuário toca no mapa para relatar avistamentos do ICE, os dados de localização são adicionados a esse banco de dados, e usuários dentro de cinco milhas recebem automaticamente uma notificação por push alertando-os. Notificações por push exigem que os desenvolvedores tenham alguma forma de designar quais dispositivos as recebem, e enquanto Aaron se recusou a dizer precisamente como as notificações funcionam, ele disse que os alertas são enviados através do sistema da Apple, não do ICEBlock, permitindo que ele evite manter seu próprio banco de dados de usuários ou seus dispositivos. “Utilizamos o iCloud de uma maneira criativa,” disse Aaron.
Nenhum modelo de segurança é 100% seguro, mas em teoria, o ICEBlock conseguiu limitar os riscos para pessoas que reportam e recebem informações. O Departamento de Segurança Interna poderia exigir informações sobre quem enviou uma dica, mas de acordo com a explicação de Aaron, o aplicativo não teria contas de usuário, IDs de dispositivos ou endereços IP para entregar. Da mesma forma, se o ICE acha que alguém usou o aplicativo para encontrar uma operação e interferir, poderia buscar registros do ICEBlock relacionados a quem recebeu uma notificação por push específica — e novamente, deveria sair de mãos vazias.
Esse truque é exclusivo do iOS, no entanto. O aplicativo ICEBlock para iOS pode aproveitar a infraestrutura do iCloud da Apple para roteamento de notificações por push porque todo usuário de iPhone é garantido ter uma conta iCloud. Usuários do Android não são obrigados a criar contas do Google, então “algum tipo de banco de dados precisa ser criado para capturar informações do usuário,” disse Aaron. (Compartilhar relatórios entre ambas as plataformas de telefone também criaria seus próprios desafios de privacidade.)
Conversei com Gaël Duval, fundador e CEO do /e/OS, outra versão do Android focada em privacidade, e ele admitiu que as notificações por push do Android exigem “um token de registro que identifica de forma exclusiva um determinado aplicativo em um determinado dispositivo” e que isso “normalmente seria salvo no servidor do ICEBlock.”
“É uma string longa e aleatória,” disse ele, que não inclui nem um ID do Android nem o IMEI que identifica um telefone específico. “O Google ainda pode mapeá-la de volta ao hardware do lado deles, mas para o ICEBlock, é pseudônima até que você a vincule a qualquer outra coisa.” Portanto, de fato, as notificações no Android exigiriam que o ICEBlock armazenasse informações potencialmente identificáveis. Normalmente, o iOS também exigiria, mas uma solução criativa permite que o ICEBlock evite isso.
Mas você pode ter notado o problema: o ICEBlock não está coletando dados de dispositivos no iOS, mas apenas porque dados semelhantes são armazenados com a Apple.
A Apple mantém um banco de dados de quais dispositivos e contas instalaram um determinado aplicativo, e Carlos Anso do GrapheneOS me disse que provavelmente também rastreia registros de dispositivos para notificações por push. Para o aplicativo iOS do ICEBlock ou um aplicativo Android hipotético, as forças da lei poderiam exigir informações diretamente da empresa, cortando o ICEBlock do circuito. Aaron disse que ele “não tem ideia do que a Apple armazenaria,” e que isso “não tem nada a ver com o ICEBlock.”
Para as pessoas que enviam relatórios, Duval sugeriu que poderia haver também “um risco residual” de combinar os horários dos relatórios e dados de telemetria, e Anso ecoou uma preocupação semelhante. Mas sem os detalhes precisos do design do ICEBlock — que Aaron é compreensivelmente relutante em compartilhar — isso é impossível de verificar. “Absolutamente não,” disse Aaron quando eu perguntei se isso era uma preocupação. Ele insistiu que “não há risco” de a Apple ter dados sobre quais usuários enviaram relatórios.
Aaron disse que o ICEBlock atualmente não armazena praticamente nenhum dado sobre seus usuários no iOS e que ele não poderia alcançar a mesma configuração no Android, um aplicativo web ou um design de código aberto. Críticos argumentam que ele está oferecendo uma falsa sensação de segurança ao transferir o risco para a Apple. E enquanto não está claro exatamente quais dados a Apple tem sobre os usuários do ICEBlock, é o suficiente para lançar dúvidas sobre a afirmação de que “não há dados.”
A questão então é quão seguro esses dados estão com a Apple. Aaron insistiu que “nada que a Apple tenha prejudicaria o usuário,” e ele estava confiante de que a Apple não compartilharia isso de qualquer maneira. “A Apple tem um histórico, que quando o governo tenta atacá-los por coisas, eles não divulgaram essas informações, eles foram a tribunal por isso,” disse ele. “Eles lutaram essas batalhas e venceram.”
Isso não é totalmente verdade. Embora a Apple tenha se envolvido em algumas brigas de privacidade de alto perfil com governos e forças da lei — incluindo esforços para acessar o iPhone do atirador de San Bernardino ou sua recente recusa em construir uma porta dos fundos na criptografia do iCloud no Reino Unido — ela cumpre a maioria dos pedidos governamentais que recebe. Em seu relatório de transparência mais recente, para a primeira metade de 2024, a Apple disse que concordou com 86% dos pedidos do governo dos EUA por acesso a dados baseados em dispositivos, 90% para acesso baseado em contas e 28% para registros de notificações por push. Muitos destes serão benignos — incluem ajuda para rastrear telefones perdidos ou roubados, por exemplo — mas outros se relacionam a casos onde uma “conta da Apple pode ter sido usada ilegalmente.” Exigir dados de notificações por push tanto da Apple quanto do Google se tornou uma maneira chave para as forças da lei identificarem criminosos suspeitos.
As pessoas têm o direito constitucional de gravar operações policiais públicas e compartilhar dicas sobre avistamentos. Como Aaron disse, um aplicativo como o ICEBlock — ao contrário das alegações de Noem — “não é de forma alguma ilegal” sob a lei americana atual. Mas durante um período em que nem o presidente nem a Suprema Corte têm muita consideração pelos direitos constitucionais, a questão não é se o ICEBlock é legal, mas se qualquer informação que passe por ele poderia expor pessoas que resistem ao ICE, legalmente ou não.
“Nós não queremos nada,” disse Aaron. “Eu não quero um banco de dados privado. Eu não quero nenhum tipo de informação do meu lado.”
E aí está o problema. O ICEBlock diz que seus dados estão seguros porque não tem nenhum, mas isso não significa que eles não estejam por aí. Você tem tanta fé na Apple quanto Aaron?