Você já se perguntou como os aplicativos móveis sempre parecem reconhecê-lo, mesmo quando você nunca criou uma conta ou forneceu seu e-mail? Essa experiência não é mágica; muitas vezes é o resultado de impressão digital de aplicativos móveis e outras técnicas de rastreamento invisíveis.
Para desenvolvedores de aplicativos móveis, líderes de AppSec e gerentes de mobilidade empresarial, esse recurso representa mais do que um preocupação com privacidade — pode introduzir riscos reais de negócios e conformidade. Seja propositalmente ou inadvertidamente, a impressão digital ocorre quando os aplicativos combinam dados analíticos, publicitários e de telemetria de forma a identificar exclusivamente um dispositivo móvel ou usuário e rastrear atividades e comportamento.
À medida que os desenvolvedores adicionam recursos para personalizar experiências ou conectar dados entre serviços, eles podem expor involuntariamente sinais suficientes para criar uma impressão digital que revele a identidade do usuário, padrões de comportamento ou até mesmo localização. Esta exposição pode minar as expectativas de privacidade, violar regulamentos e aumentar a responsabilidade empresarial.
A investigação a seguir demonstra quão facilmente isso pode acontecer (mesmo em aplicativos bem conhecidos) e por que toda organização que cria ou aprova aplicativos móveis precisa entender o riscos de impressão digital.
Pontos de dados de aplicativos aparentemente inofensivos podem se combinar para formar uma impressão digital persistente que expõe usuários e empresas a riscos de privacidade.
Testando como os aplicativos rastreiam você
Para explorar como impressão digital de aplicativos móveis e rastreamento de dispositivo trabalho, selecionei três aplicativos aleatórios da Google Play Store:
- Duolingo – Um aplicativo popular de aprendizagem de idiomas
- Tubi – um aplicativo gratuito de streaming de vídeo
- Block Puzzle – Um jogo para celular gratuito da Staple Games
Instalei esses três aplicativos em um dispositivo Android, configurei o Burp Suite para interceptar o tráfego de rede e observei os dados transmitidos por cada aplicativo.
Duolingo
Imediatamente após lançar o Duolingo, notei uma quantidade extraordinária de dados sendo enviada – dezenas de solicitações de rede antes mesmo de eu tocar em um único botão.
Como a impressão digital em aplicativos móveis costuma ser sutil, eu queria ver se alguma dessas solicitações poderia ser usada para criar um perfil ou uma impressão digital. Neste ponto, eu não havia feito login nem inserido nenhuma informação pessoal.
A primeira coisa que notei foram várias solicitações contendo o que parecia ser um ID de usuário na URL.
Mesmo sem fazer login, o aplicativo criou um ID de usuário exclusivo para mim, provavelmente vinculando todas as minhas atividades a esse identificador. Esse ID persistiu após fechar e reiniciar o aplicativo, mas mudou após reinstalá-lo.
Então, o que o Duolingo está fazendo com esse ID de rastreamento? Parece que o aplicativo o utiliza principalmente para monitorar o progresso do aprendizado e a atividade no aplicativo conforme esperado para uma experiência personalizada. No entanto, também observei várias solicitações POST criptografadas sendo transmitidas com frequência durante o uso. As respostas simplesmente confirmaram que uma certa quantidade de eventos foi enviada com sucesso.
Esses dados podem estar relacionados a diagnósticos de aplicativos ou análises de usuários, mas a frequência e a criptografia tornam impossível saber exatamente o que está sendo enviado.
Tubi
Quando abri o Tubi, apareceu ainda mais tráfego de rede do que com o Duolingo, o que faz sentido para um plataforma de streaming.
Dentro do tráfego de rede, encontrei solicitações contendo logs de clientes. A maioria parecia normal, mas os cabeçalhos incluíam um JSON Web Token (JWT) com um campo “tubi_id”. Assim como o Duolingo, Tubi me atribuiu um ID de usuário exclusivo e vinculou a ele todas as minhas atividades no aplicativo, apesar de não haver login ou registro.
Este ID não persistiu após a reinstalação do aplicativo. No entanto, encontrei outro identificador que fez – an advertiserID. No início, eu não tinha certeza se esse ID representava a mim, meu dispositivo ou o desenvolvedor, então segui em frente (mas voltaremos a isso).
Tubi também enviou solicitações ao Branch, um popular SDK de marketing e análise. Essas solicitações incluíam detalhes do dispositivo, como tipo de conexão (Wi-Fi) e endereço IP local. Embora isso possa parecer insignificante, mesmo informações de rede limitadas podem ser usadas na impressão digital e no rastreamento do dispositivo.
Não está claro como Tubi está usando os dados, mas levanta a questão: por que coletar tantas informações de identificação em primeiro lugar?
Quebra-cabeça de blocos
Em seguida, examinei o jogo Block puzzle para celular. Os jogos gratuitos para celular geralmente são preenchidos com SDKs de rastreamento de anúncios e têm uma reputação de táticas de monetização predatórias, então fiquei curioso para saber o que encontraria.
Como esperado, o jogo enviou solicitações ao Unity Ads, plataforma de monetização integrada ao motor de jogo Unity. Essas solicitações incluíam informações extensas sobre o dispositivo, como brilho, nível da bateria, uso do fone de ouvido, memória e armazenamento – tudo isso contribui para a impressão digital do dispositivo e publicidade direcionada.
Também houve várias solicitações enviadas para outro endpoint do Unity Ads que incluíam grandes quantidades de dados codificados. Embora eu não tenha conseguido determinar exatamente o que esses dados continham, cada solicitação também incluía um valor “idfi” – um identificador exclusivo atribuído ao meu dispositivo.
Esse valor apareceu repetidamente em várias outras solicitações de rede enviadas pelo aplicativo, demonstrando ainda como, mesmo sem fazer login ou criar uma conta, o aplicativo gerou um identificador de usuário persistente e estava associando minha atividade a ele. Este é um exemplo claro de impressão digital de aplicativos móveis, onde pontos de dados aparentemente inofensivos se combinam para criar um perfil digital exclusivo que pode rastrear um usuário ou dispositivo ao longo do tempo.
O jogo também se comunicou com os endpoints do Facebook, embora nenhum aplicativo Meta estivesse instalado no dispositivo. A maior parte desse tráfego consistia em solicitações GET simples e solicitações POST criptografadas.
Além disso, o aplicativo enviou tráfego para vários SDKs de publicidade e análise, incluindo Applovin, Appflyer, Inner Active, Moloco, Google e Amazon. Isso mostra quantos aplicativos gratuitos dependem do rastreamento de anúncios para celular para gerar receita.
Embora a maior parte do tráfego tenha sido criptografada, descobri vários casos em que o aplicativo transmitiu meu endereço IP público, o que pode revelar sua localização geral, uma preocupação de privacidade muito maior do que o registro de IP local.
A função dos IDs de publicidade e identificadores de dispositivos
Ao analisar o Block Puzzle, encontrei outra solicitação para um endpoint da Amazon Advertising contendo um identificador familiar – o mesmo ID de publicidade que vi no tráfego de Tubi.
Quando verifiquei o Duolingo novamente, encontrei o mesmo ID referenciado em uma solicitação ao Google Ad Services. Esse valor persistiu em todos os aplicativos, mesmo após desinstalá-los e reinstalá-los.
Acontece que esse identificador é o ID de publicidade do seu dispositivo Android, uma parte fundamental do rastreamento móvel e da impressão digital. Você pode encontrá-lo na seção “Anúncios” nas configurações de privacidade do Android.
Você pode redefinir ou excluir esse ID, o que quebra o vínculo entre suas atividades passadas e futuras. No entanto, isso não impede totalmente os anúncios, apenas torna mais difícil para os anunciantes criarem um perfil digital completo do seu dispositivo.
Depois de excluir o ID de publicidade, percebi que todas as solicitações de aplicativos substituíram o ID por zeros, confirmando que os aplicativos dependem muito desse valor para rastreamento.
Como limitar o rastreamento móvel e a impressão digital
Se você chegou até aqui, provavelmente está se perguntando: Posso interromper esse rastreamento? Devo parar com isso?
Isso depende de quanto você valoriza sua privacidade. Você pode continuar usando aplicativos com anúncios e aceitar isso impressão digital móvel e a coleta de dados fazem parte do ecossistema — ou você pode tomar medidas para reduzir sua exposição.
Aqui estão algumas maneiras de limitar rastreamento móvel:
- Redefinir ou excluir seu ID de publicidade
- No Android, vá para Configurações → Privacidade → Anúncios para redefinir ou excluir seu ID de publicidade.
- No iPhone, desative os anúncios personalizados em Configurações → Privacidade e segurança → Publicidade da Apple.
Isso não bloqueia anúncios, mas dificulta o rastreamento.
- Use bloqueadores de anúncios em toda a rede para uma proteção mais forte
Os bloqueadores de anúncios baseados em navegador funcionam bem para sites, mas não afetam a publicidade no aplicativo. Para bloquear anúncios em aplicativos móveis, considere bloqueio de anúncios em toda a rede ferramentas como Buraco pi ou AdGuard. Essas soluções filtram o tráfego no nível do DNS e evitam solicitações para domínios conhecidos de publicidade ou rastreamento.
Esta opção requer algum investimento adicional em hardware e configuração que provavelmente seria mais do que vale a pena se alguém ainda não tiver conhecimentos técnicos. É eficaz, mas provavelmente requer mais esforço do que valeria para uma pessoa comum.
Como experiência, configurei o Pi-hole em um Raspberry Pi. Quando reabri o Block Puzzle, quase todo o tráfego anterior da rede de anúncios – incluindo Applovin, Inner Active e Amazon – foi bloqueado.
O bloqueio de anúncios no nível da rede é a defesa mais eficaz contra rastreamento móvel e impressão digitalembora funcione apenas em dispositivos conectados a essa rede. Usar uma VPN roteada pela sua rede doméstica pode estender essas proteções quando você estiver fora de casa.
Proteja sua empresa contra riscos inadvertidos de impressão digital
À medida que os aplicativos móveis se tornam mais complexos, a combinação de análises, anúncios e ferramentas de rastreamento de comportamento pode criar involuntariamente impressões digitais que identificam usuários e expõem dados privados. As equipes empresariais, desde desenvolvedores até AppSec e revisores de privacidade, devem testar e monitorar proativamente esses riscos antes do lançamento.
Privacidade agora segura fornece visibilidade sobre como os aplicativos móveis coletam, compartilham e transmitem dados confidenciais. Ele combina testes estáticos, dinâmicos e de rede para descobrir vazamentos ocultos, SDKs arriscados e fluxos de dados não autorizados e, em seguida, mapeia os resultados para relatórios prontos para auditoria. Descobrir como a integração de testes contínuos de privacidade em pipelines DevSecOps reduz o esforço manual, agiliza a conformidade e protege a confiança da marca.
