Dylan McKay, um desenvolvedor da Nova Zelândia, baixou todo o arquivo do Facebook para ver quais dados o gigante da mídia social tinha sobre ele. Entre um registro de todos os seus posts, amigos e dados publicitários, McKay encontrou registros inteiros de chamadas e SMS de seu smartphone Android conectado.
Downloaded my facebook data as a ZIP file— Dylan McKay (@dylanmckaynz) 21 de março de 2018
Somehow it has my entire call history with my partner's mum pic.twitter.com/CIRUguf4vD
"De alguma forma, [o Facebook] tem todo o meu histórico de chamadas com a mãe do meu parceiro"
Mas o caso de Dylan não foi o único — você pode conferir todos os tweets de desenvolvedor (em inglês) aqui rolando para baixo. Uma investigação da Ars Technica revelou que isso vem acontecendo há anos com diversos usuários.
Embora versões recentes do Messenger e do Facebook Lite em dispositivos Android tenham feito solicitações específicas para acesso a registros de chamadas e SMS - parte dos esforços da rede social para melhorar o algoritmo de recomendação de amigos - o Facebook já pode acessar os dados há anos. Antes do Android 4.1 Jelly Bean, o aplicativo Android do Facebook pedia permissão de contato e, se concedido, também permitia o acesso a dados de chamadas e mensagens automaticamente. O Android eventualmente mudou a maneira como essa permissão funcionou na versão 16 de sua API.
Mas como isso acontecia?
Se você concedeu permissão para o aplicativo ler contatos durante a instalação do Facebook no Android algumas versões atrás - especificamente antes do Android 4.1 (Jelly Bean) - essa permissão também concedeu acesso ao Facebook para chamadas e logs de mensagens por padrão. A estrutura de permissões foi alterada na API do Android na versão 16, mas os aplicativos Android poderiam ignorar essa alteração se fossem gravados em versões anteriores da API, de modo que a API do Facebook continuasse obtendo acesso a dados de chamadas e SMS especificando de uma versão anterior do Android SDK - ou seja, caso você somente atualizasse o aplicativo.O Google desaprovou a versão 4.0 da API do Android em outubro de 2017 - o ponto em que os metadados de chamada mais recentes nos dados dos usuários do Facebook foram encontrados. O iOS nunca permitiu o acesso silencioso para coleta de dados de chamadas.
Resposta do Facebook
Um porta-voz do Facebook disse à Ars Technica que os aplicativos do Facebook pedem explicitamente permissão para acessar os contatos e outros registros, e que é totalmente opcional, com usuários capazes de apagar seus dados de contato usando uma ferramenta no site do Facebook via navegador web. Infelizmente, não fica claro se optar por apagar esses dados de contato também exclui os metadados de chamadas e textos.Fonte: Ash Technica