Os aplicativos de creche são projetados para facilitar o dia a dia nas creches. Os pais podem usá-los, por exemplo, para acessar relatórios sobre o desenvolvimento de seus filhos e para se comunicar com os professores. No entanto, alguns desses aplicativos apresentam sérias falhas de segurança. Esta é a conclusão alcançada por pesquisadores da Ruhr-Universität Bochum (RUB), Westfälische Hochschule e do Instituto Max Planck para Segurança e Privacidade em Bochum, em colaboração com um parceiro do setor. Eles analisaram 42 aplicativos de creche da Europa e dos EUA em relação à segurança e privacidade. Em alguns aplicativos, eles conseguiram acessar fotos particulares das crianças; vários aplicativos acessaram os dados pessoais dos usuários sem consentimento e os compartilharam com terceiros.
A equipe liderada pelo Dr. Matteo Große-Kampmann, que obteve seu Ph.D. no Horst Görtz Institute for IT Security at RUB, e o Dr. Maximilian Golla do Max Planck Institute for Security and Privacy apresentará suas descobertas em julho de 2022 em Sydney no "22nd Privacy Enhancing Technologies Symposium". Antes disso, os resultados foram publicados online.

“De acordo com o Regulamento Geral Europeu de Proteção de Dados e a Lei de Proteção à Privacidade Online das Crianças dos EUA, os dados das crianças estão sujeitos a proteção especial”, diz Maximilian Golla. "Infelizmente, descobrimos que muitos aplicativos não garantem essa proteção."

As análises foram realizadas em cooperação com a AWARE7 GmbH. A equipe entrou em contato com todos os fabricantes de aplicativos antes da publicação e os alertou sobre as vulnerabilidades.

Usado por milhões

Para o estudo, os pesquisadores analisaram aplicativos de creche Android que eles localizaram na Google Play Store e que oferecem pelo menos os seguintes recursos:tanto o desenvolvimento das crianças quanto quaisquer atividades especiais podem ser registradas no aplicativo na forma de notas, fotos e vídeos; o aplicativo possui uma função de mensageiro por meio do qual a equipe da creche pode se comunicar com os pais; o app apoia a gestão da creche em processos administrativos como faturamento, criação de horários e organização de grupos. Os aplicativos mais usados ​​"Bloomz" e "brightwheel" foram baixados mais de um milhão de vezes da Google Play Store. Juntos, todos os aplicativos atingiram cerca de três milhões de downloads.

Em alguns casos, os dados pessoais são vendidos

Dos aplicativos analisados, oito apresentavam sérios problemas de segurança que permitiriam, por exemplo, que invasores vissem as fotos privadas das crianças. Em 40 aplicativos, os pesquisadores descobriram que monitoram pais e educadores:eles coletam o número de telefone e o endereço de e-mail do usuário, além de informações sobre o dispositivo e o uso do aplicativo, como a hora em que um botão foi clicado. Os fabricantes compartilham e vendem esta e outras informações para fornecedores terceirizados. Um desenvolvedor de aplicativos escreve:"... compartilhe dados com parceiros para fins comerciais, como o número médio de trocas de fraldas por dia...". Muitas vezes, os dados são compartilhados com a Amazon, Facebook, Google ou Microsoft para campanhas publicitárias direcionadas.

Políticas de privacidade inadequadas

"Também analisamos as políticas de privacidade dos provedores", destaca Maximilian Golla. "E surgiu um quadro aterrorizante. Muitas das políticas nem sequer mencionam que processam dados de crianças, muito menos que coletam e vendem dados, embora sejam obrigados a fazê-lo pelas leis europeias e americanas."

Mas isso não significa necessariamente que os provedores ajam de má fé. "Em vez disso, suspeitamos que seja uma questão de problemas técnicos e organizacionais", diz Matteo Große-Kampmann. Segundo os pesquisadores, alguns provedores agem de forma negligente porque a política de privacidade vinculada não está em conformidade, em parte porque não contém informações sobre o processamento de dados no aplicativo ou sobre os serviços oferecidos e muitas vezes não é atualizada há muitos anos.

Os pesquisadores esperam que suas descobertas chamem a atenção para essa questão sensível, já que os dados das crianças estão em jogo. "Não é preciso dizer que os gerentes de creches, provedores de creches e pais não podem analisar todos os aplicativos sozinhos", diz Matteo Große-Kampmann. "Mas no final das contas, eles têm que assumir a responsabilidade pela decisão de qual aplicativo adotar."

Diretrizes e listas de verificação

De acordo com Maximilian Golla, rejeitar aplicativos de creche por princípio não é uma solução viável, especialmente porque existem provedores sem problemas de segurança, que cumprem as normas de proteção de dados. “Se não houver um aplicativo oficial, os pais usam serviços de mensagens como o WhatsApp, que é a pior de todas as soluções no que diz respeito à privacidade”, ressalta.

De acordo com os especialistas em TI, uma boa ideia seria que os especialistas elaborassem diretrizes e checklists. Por exemplo, órgãos governamentais poderiam fazer recomendações e repassá-las às associações que administram as creches.