Dicionário da Autenticação Mobile

Tudo o que você precisa saber sobre tecnologia de localização -  o seu guia definitivo

Written by Incognia Blog | 28/abr/2022 21:16:05

Localização é uma palavra que vem do latim locationem (nominativo locatio) que significa um determinado lugar ou posição. Quando a localização é somada à palavra tecnologia, entende-se pelo uso de sensores e métodos para a detecção e o cálculo da localização geográfica de um dispositivo móvel, uma pessoa ou algo, o que será cada vez mais frequente com o crescimento do IoT, ou a sigla em inglês para Internet das Coisas. A tecnologia de localização também pode ser chamada de tecnologia de geolocalização.

 

O Sistema de Posicionamento Global, ou GPS, que é a sigla para Global Positioning System em inglês, é a tecnologia de localização mais conhecida, mas não a única. Há também outras como a Enhanced Observed Time Difference (E-OTD), e Enhanced GPS (E-GPS), que são respectivamente um método de localização para redes GSM em que o telefone mede a diferença no tempo de chegada dos sinais de diferentes torres e uma tecnologia para telefones celulares em redes GSM e W-CDMA, com sinais de GPS superiores e correções de localização mais rápidas. Além disso, atualmente as tecnologias Wi-Fi e Bluetooth podem ser usadas para identificar uma posição geográfica particular, especialmente em ambientes internos.

Por dentro dos sensores dos dispositivos móveis

Estamos na era da tecnologia mobile. Hoje, os smartphones são dispositivos de computação poderosos com diversos sensores que fornecem dados de geolocalização em tempo real, oferecendo informações, entretenimento, publicidade e, sobretudo, serviços de segurança baseados em métodos de localização avançados.

Sistema de Posicionamento Global (GPS)

O GPS é a tecnologia de geolocalização mais conhecida e utilizada em dispositivos móveis e se tornou, também, um alvo frequente de falsificação. A geolocalização do GPS é baseada em satélites de comunicação que orbitam a Terra, transmitindo de forma contínua o status, a localização e o momento exatos. Um dispositivo GPS que recebe esses sinais pode, então, determinar a localização GPS. A precisão da localização do GPS depende de vários fatores, como as condições atmosféricas, o bloqueio de sinal e o design e a qualidade do receptor, variando entre 10 e 100 metros. Os fraudadores usam diferentes técnicas para falsificar a localização, como aplicativos de falsificação de GPS, VPNs, proxies e emuladores.

Posicionamento e localização utilizando Wi-Fi

O posicionamento Wi-Fi, conhecido como a configuração protegida de Wi-Fi WPS ou WiPS, é baseado em hotspots Wi-FI e pontos de acesso sem fio. O método mais comum de geolocalização se baseia na intensidade do sinal de recepção - conhecido como o indicador de intensidade do sinal recebido, ou RSSI que é a sigla para Received Signal Strength Indication em inglês, de vários pontos de acesso ou pontos de acesso Wi-Fi. O posicionamento Wi-Fi é particularmente útil para a detecção de posições em ambientes fechados com mais precisão, funcionando melhor do que o GPS.

Posicionamento e localização utilizando dados celulares

Os sinais de celular utilizam uma rede de torres de telefonia que transmitem ondas de rádio usadas para a comunicação mobile. Do mesmo modo que as transmissões de sinal de satélite são usadas para localizar um dispositivo, os sinais dessas torres também podem ser usados ​​para a geolocalização, apesar de esse método não ser tão exato quanto o GPS, tendo maior precisão em uma área de cerca de um quilômetro.

Posicionamento e localização utilizando Bluetooth

O Bluetooth é uma tecnologia sem fio usada para conectar dispositivos a uma curta distância usando curtas ondas de rádio, com precisão aproximada entre 1 e 2 metros. Muitos smartphones já trazem a versão mais recente, chamada de BLE que é a sigla para Bluetooth Low Energy em inglês. Os smartphones podem determinar a localização com base na captação de sinais de beacons usando a tecnologia BLE e oferecendo um sistema de posicionamento interno.

Além dos sensores no dispositivo, outras tecnologias podem ser usadas para acessar a localização do usuário:

Identificação por radiofrequência – “RFID”, na sigla em inglês

O rastreamento RFID, que é a sigla para Radio-Frequency Identification em inglês, se trata de uma combinação de métodos. O scanner RFID em geral tem uma localização estática. Quando o sistema faz o ping (um comando que mede o tempo de resposta de conexão) de outras redes, consegue registrar a localização do scanner e quando o scanner RFID é ativado, ele marca a localização ao registrar esse acesso. Assim, a localização do dispositivo que está acessando o scanner é identificada.

Beacons com tecnologia BLE de localização fixa (Geobeacons)

Os geobeacons são um exemplo de tecnologia de geolocalização in loco, que são beacons com tecnologia BLE de localização fixa. Podem ser usados por meio de sinais BLE enviados a dispositivos de rastreamento para o compartilhamento de seus identificadores, permitindo a detecção de posições usando baixa potência.

Qual a diferença entre a tecnologia de localização e os serviços com base na localização?

Os serviços com base na localização usam a tecnologia GPS de um smartphone e outros sinais para rastrear a localização de um usuário caso esse rastreamento tenha sido previamente autorizado dentro do sistema operacionais, com iOS ou o Android. Com a autorização do usuário, os serviços podem identificar a localização sem a necessidade da entrada manual de dados e, dependendo do serviço, sem identificar o usuário de forma pessoal.

Os serviços baseados em localização dependem do rastreamento de localização em tempo real para a entrega de serviços. Sendo assim, a tecnologia identifica de forma contínua a localização física e geográfica do usuário para executar serviços e funções. Essa tecnologia é mais usada em dispositivos móveis, mas pode ser aplicada a qualquer dispositivo capaz de fornecer uma localização, incluindo PCs desktop, com base em vários sinais, como:

    1. GPS
    2. Pontos de acesso Wi-Fi próximos
    3. Endereços IP
    4. Torres de telefonia celular
    5. Endereços MAC (controle de acesso à mídia)
    6. Roteadores sem fio

 

O que seria um aplicativo com serviço de localização?

Um aplicativo com serviço de localização usa a localização fornecida pelo usuário, com o seu consentimento por meio da ativação da localização e do aceite na mensagem que informa o uso do dado, para fornecer um serviço, informações ou executar uma tarefa específica. A detecção de localização do usuário pode ser bastante precisa ou aproximada. Além disso, o aplicativo precisa ser claro sobre o porquê a localização do usuário é necessária e como ela será usada antes que a execução seja autorizada pelo sistema operacional.

Qual o principal objetivo dos aplicativos baseados em localização?

Os aplicativos baseados em localização agora fazem parte do nosso cotidiano e são amplamente utilizados. Caso você esteja se perguntando, o principal objetivo desses aplicativos é, a partir da localização do usuário, fornecer informações, entretenimento, publicidade e/ou experiências personalizadas e, o mais importante, serviços de segurança de alta qualidade. São usados principalmente nas seguintes atividades:

  • Aplicativos de trânsito, navegação e transporte público em tempo real
  • Aplicativos de viagem e check-in para viajantes
  • Aplicativos sociais e de relacionamento
  • Entrega de comida e restaurantes

É possível enganar a tecnologia de localização? Como funciona a falsificação de localização?

Com a evolução da tecnologia, evoluem também as técnicas para enganar os sistemas de segurança e falsificar a localização, o chamado spoofing de GPS.  A alteração dos dados de GPS e o uso de VPNs e Proxies, emuladores, ferramentas de instrumentação, além da adulteração de aplicativos são usados ​​por fraudadores para falsificar a localização.

E você deve estar se perguntando o porquê. Há vários motivos para se falsificar a localização. Primeiro, é uma tentativa de evitar o bloqueio geográfico, que seria a restrição de acesso a sites, sistemas ou outros tipos de conteúdo disponíveis na internet dependendo da localização de acesso do usuário, muitas vezes devido a normas regulatórias. Esse bloqueio geográfico é comum a serviços envolvendo streaming, apostas, jogos em geral, entre outros.

Além do bloqueio geográfico, os criminosos podem falsificar o GPS para ocultar a localização de uma pessoa. Nesses casos, uma localização GPS falsa é usada para representar uma pessoa ou objeto. Esse tipo de crime pode envolver desde o roubo de carros alugados até o sequestro de uma pessoa. 

Uma localização GPS falsa também implica o risco de segurança cibernética. Quando hackers acessam um telefone celular, computador ou sistema e fornecem informações de localização falsas, contornando alguns recursos de segurança, podem cometer certas fraudes que são bastante noticiadas, como a invasão de conta ou o golpe da troca de chip (“SIM swap”). Os sistemas de detecção de fraude não têm como barrar essa tecnologia de falsificação de GPS pois dependem apenas de endereços GPS ou IP. Sendo assim, as empresas que não contam com uma tecnologia mais robusta, ficam bastante expostas a esse tipo de ameaça.

Como otimizar a tecnologia de localização?

Quando se fala em tecnologia de localização, é fundamental analisar o contexto. Para que a tecnologia de localização será usada por você ou a sua empresa? Quão exata e precisa deverá ser a localização? Será usada apenas em ambientes externos ou também internos? Se fazer essas perguntas é necessário, portanto, para se extrair o máximo da tecnologia de localização a ser implementada. Vale ressaltar, porém, que os regulamentos locais e a questão da disponibilidade também devem ser considerados. Vale a pena construir uma matriz comparando os custos de cada método - seja de implantação, consumo e manutenção - a precisão necessária, o tempo de uso e, o mais importante, o valor que agrega ao negócio ou à vida e experiência dos usuários.

Usando a tecnologia de localização para a prevenção de fraudes em dispositivos móveis

De todos os sinais de reconhecimento, a localização é o mais relevante para a prevenção de fraudes em dispositivos móveis. No mundo de hoje, os dispositivos móveis se tornaram quase que uma extensão das pessoas. Todos nós levamos os telefones celulares para todos os lugares, e a movimentação de cada pessoa no mundo é única, gerando, assim, padrões de localização únicos. Os dispositivos móveis atuais contêm muitos sensores relacionados ao movimento, à posição e ao status do dispositivo.

Usar um sinal de comportamento de localização em dispositivos móveis como parte da autenticação baseada em risco possibilita oferecer aos usuários uma estratégia de autenticação de baixa fricção inicial, de forma que os processos de autenticação mais complexos e seguros sejam aplicados apenas para logins de alto risco ou transações sensíveis.

 

Permissões de localização em dispositivos móveis 

Nos dispositivos móveis com sistemas operacionais iOS e Android há diversos controles dados ao usuário para definir as permissões relacionadas ao uso de sinais de rede, a sensores de movimento e à coleta de informações de localização. Entender como esses controles se relacionam com aplicativos baseados em localização ajuda a escolher quais os melhores frente às suas necessidades. A seguir veremos os tipos de permissão de localização em dispositivos iOS e Android.

Permissões de localização em dispositivos iOS

O sistema iOS inclui alguns recursos importantes relacionados à permissão de localização. Com o Controle do Usuário do Compartilhamento de Localização Para dispositivos iOS, a partir do iOS 14, os usuários da Apple podem escolher entre quatro opções de compartilhamento de dados de localização com um aplicativo. No entanto, antes de autorizar o compartilhamento da localização com um aplicativo, é necessário que o usuário habilite os serviços de Localização. Esse recurso permite que os aplicativos e sites da Apple e de terceiros usem os dados de comportamento do usuário para oferecer diferentes serviços baseados em localização

Vale ressaltar que, ao habilitar os serviços de localização, o usuário autorizará também diferentes recursos relacionados à localização, como o roteamento de tráfego ou os alertas baseados em localização. Para usar esses serviços, é necessário que o usuário autorize o acesso à localização em cada aplicativo para que os seus dados sejam usados. É possível escolher entre:

  • Nunca: impede o acesso às informações dos Serviços de Localização.
  • Durante o uso do aplicativo: permite o acesso aos Serviços de Localização somente quando o aplicativo ou um de seus recursos estiver visível na tela. Se estiver definido durante o uso do aplicativo, aparece para o usuário a cor azul na barra de status e uma mensagem dizendo que um aplicativo está acessando a localização de forma ativa. 
  • Permitir uma vez: permite que o aplicativo acesse a localização do usuário durante aquela interação.
  • Sempre: essa opção permite o acesso à localização mesmo quando o aplicativo está em segundo plano. É apenas mostrado após o usuário selecionar “permitir ao usar o aplicativo”. Caso o usuário tenha dado esse tipo de permissão para versões anteriores do IOS, para uma nova versão aparecerá um pop-up para que o usuário possa avaliar se deseja continuar permitindo o acesso “sempre”.
  • Localização precisa e aproximada: o usuário pode escolher entre fornecer a localização precisa ou a aproximada a um aplicativo. Segundo a Apple, a localização precisa é a “informação que descreve a localização de um usuário ou dispositivo com resolução igual ou superior à latitude e longitude usando três ou mais casas decimais”, enquanto a aproximada é a “informação que descreve a localização de um usuário ou dispositivo com resolução inferior à latitude e longitude usando três ou mais casas decimais, como os Serviços de Localização Aproximada”. Para a Incognia, o uso da localização precisa proporcionará maior precisão na detecção de localização.
  • Transparência de rastreamento de aplicativos: A partir do iOS 14, a Apple introduziu o AppTrackingTransparency, um recurso para uma melhor transparência que monitora as solicitações de autorização de rastreamento de aplicativos e o status de todo aplicativo que colete dados dos usuários finais e os compartilhe com outras empresas. Portanto, se um aplicativo compartilha os dados com a Incognia, é recomendável solicitar a autorização do usuário por meio do AppTrackingTransparency disponível a partir do iOS 14. No iOS 15 terá um novo painel de privacidade em que o usuário poderá verificar quais aplicativos têm acesso à sua localização - após o usuário ter dado a permissão de localização - e a frequência em que isso ocorre. 

Permissões de localização em dispositivos Android

No sistema Android há dois tipos diferentes de permissão de localização: permissão de localização em primeiro e em segundo plano.

Localização em primeiro plano: os aplicativos que compartilham ou recebem informações de localização apenas uma vez ou por um determinado período requerem acesso à localização em primeiro plano. Isso significa que o acesso à localização é permitido apenas durante o uso do aplicativo pelo usuário ou durante um determinado período, ou ainda que o acesso não é permitido. Na versão mais recente do Android, prestes a ser lançada, também será possível escolher entre a localização mais refinada ou aproximada, assim como no sistema IOS atual

De acordo com os desenvolvedores do Android, remover a localização ou alterá-la de segundo para primeiro plano permite aos aplicativos gastar menos bateria e evitar classificações ruins quando os usuários não desejam compartilhar a localização. Por isso, os aplicativos devem sempre provar por que precisam da localização do usuário.

Permissão em segundo plano: a solicitação de permissão de localização em segundo plano cabe a aplicativos com um recurso de compartilhamento de localização constante em diferentes situações, como o compartilhamento com outros usuários ou quando o Geofencing, uma técnica que engloba as tecnologias para estabelecer um limite geográfico, está ativado. No Android 11, os usuários devem ativar a localização em segundo plano em configurações, conforme mostra a figura. 

No Android, há um lembrete de localização de acesso em segundo plano, que mostra ao usuário os aplicativos com acesso à sua localização, facilitando a decisão de manter ou desativar essas permissões ativadas. Além disso, o Android ainda fornece um exemplo de mensagem deixando bem claros os benefícios de aceitar as permissões para o uso da localização. A versão na íntegra dessa mensagem pode ser adicionada às políticas de privacidade por ser mais completa e/ou uma versão mais sucinta pode ser usada para a solicitação de permissão de localização.  Na versão mais recente do Android, também é possível escolher entre a localização mais refinada ou aproximada, assim como no iOS.

 


Os usuários podem optar por desativar e parar de compartilhar seus dados de localização?

Levando em conta alguns regulamentos de privacidade, inclusive a Lei Geral de Proteção de Dados, LGPD ou regulamentação do uso de dados da União Europeia (GDPR), na Incognia acreditamos que o usuário deve ter controle sobre os seus dados e poder decidir se quer ou não compartilhar a sua localização com aplicativos, conforme as diretrizes dos sistemas operacionais. É importante reforçar que as permissões de localização podem contribuir para uma experiência no aplicativo mais segura, ajudando a identificar casos de roubo de identidade, falsificação de GPS e outras técnicas fraudulentas que são bastante usadas na atualidade.

Como saber quais aplicativos têm acesso à localização?


  • Android Vá em configurações > Aplicativos > Permissões de aplicativos > Localização
  • iPhone Vá em configurações > Privacidade > Serviços de localização

Consentimento para a coleta de dados de localização

De acordo com a LGPD, a prevenção de fraudes é considerada um interesse legítimo para a coleta de dados, inclusive de localização. Segundo o artigo 10 da LGPD, “o legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

I - apoio e promoção de atividades do controlador; e II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei. 

  • 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados. 
  • 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse. 
  • 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.”

Ainda para ilustrar esse ponto, o varejo mobile e os serviços financeiros têm um interesse legítimo ao usar mecanismos para auxiliar na identificação de usuários, na prevenção de fraudes e em crimes financeiros. O usuário, por sua vez, espera que os aplicativos tenham soluções de prevenção de fraude para validar o cadastro, impedir o roubo de credenciais e identificar transações fraudulentas. Mais detalhes sobre esse tema podem ser encontrados neste Guia de Boas Práticas da LGPD.

Quando a localização é usada para melhorar a segurança e evitar fraudes, a seguinte pergunta é muito frequente: “Mas no caso de um fraudador, por que ele escolheria  compartilhar a sua localização quando está cometendo ato suspeito ou ilícito?” Essa é uma das razões pelas quais as leis de proteção de dados, como a LGPD (Lei Geral de Proteção de Dados brasileira) e GDPR, enfatizam que, na prevenção de fraudes, não é necessário o consentimento explícito uma vez que se manter seguro é de interesse legítimo do usuário.

Vale notar que, embora o consentimento explícito não seja necessário, as obrigações de transparência e os direitos dos titulares dos dados devem ser observados. Portanto, para a prevenção de fraudes, todo e qualquer aplicativo deve fornecer informações em sua política de privacidade sobre o processamento de dados do dispositivo por terceiros.