Mais de 1.000 apps do Android coletam dados sem permissão

Em teoria, os apps do Android precisam que o usuário conceda permissões para certas ações específicas, como acessar os contatos, a câmera e o microfone, enviar notificações Push e outras coisas. Só que na prática não é bem o que acontece: um novo estudo revela que 1.325 aplicativos do robozinho contornam essas permissões, e coletam dados mesmo que o usuário não queira.

• A maioria dos antivírus para Android não protege o usuário
• Fabricantes de dispositivos Android estão mentindo sobre distribuir patches de segurança

O estudo (cuidado, PDF) conduzido pelo Instituto Internacional de Ciência da Computação (ICSI), que reuniu pesquisadores das Universidades de Calgary, Berkeley e Carlos III de Madrid revela o lado feio da privacidade online: por mais que empresas se esforcem para evitar que seus clientes sejam invadidos, mais e mais desenvolvedores procurarão e encontrarão brechas no sistema que lhes permitam burlar as normas de segurança.

A pesquisa analisou como 88 mil aplicativos do Android lidavam com permissões que lhes foram negadas pelo usuário, e 1,51% do montante conseguiam driblar a segurança do sistema operacional e acessar dados de localização, armazenados em metadados de conexões Wi-Fi e fotos; outros captam informações de outros apps devidamente autorizados pelo usuário, por exemplo, coletando dados armazenados em cartões SD que outra aplicação usa para salvar arquivos. A pesquisa diz que apenas 13 apps utilizam tal método, mas os mesmos foram instalados mais de 17 milhões de vezes.

A lista completa com os nomes dos aplicativos irregulares não foi revelada, apenas alguns deles. Um exemplo é o app da Disneyland de Hong Kong, desenvolvido pela chinesa Baidu (instalado com sucesso), capaz de coletar dados de apps terceiros e do aparelho, como o número IMEI. Outros exemplos são navegadores e até apps de grande porte como o Samsung Health, obrigatório para o uso de smartwatches e pulseiras inteligentes como acessórios fitness (a Samsung não compartilha dados de tais gadgets com apps de terceiros), instalados até 500 milhões de vezes.

Há também apps capazes de obter o endereço MAC e identificar até mesmo o roteador de uma rede Wi-Fi doméstica, para coletar dados de localização e navegação. Segundo a pesquisa, até apps de controle remoto coletam tais informações, sendo que eles não têm a menor necessidade disso para começar. Já o app de imagens Shutterfly coleta dados GPS de fotos e os manda para seus servidores, mesmo que o usuário explicitamente não permita que o software o faça.

A vulnerabilidade do Android foi apresentada em junho na PrivacyCon, uma conferência de segurança organizada pela FTC (Comissão Federal de Comércio dos EUA), que tornou o assunto público nesta semana. De acordo com Serge Egelman, diretor do departamento de Privacidade e Usabilidade e Segurança da ICSI e chefe do laboratório de Segurança Experimental e Usabilidade de Berkeley (BLUES), o Google foi notificado da falha em setembro de 2018, o que pode explicar a decisão de revelar a brecha agora (mais a seguir).

Vale lembrar que tal problema não é exclusividade do Google: em maio de 2019 o Wall Street Journal conduziu uma pesquisa própria, revelando que dos 80 apps para iPhone recomendados pela redação (chamados de "apps que amamos"), 79 deles coletavam dados do usuário mesmo que ele não desse permissão.

Egelman diz que a lista completa com os nomes dos apps de Android que coletam mais do que devem será revelada durante a conferência USENIX Security, que acontece entre os dias 14 e 16 de agosto em Santa Clara, Califórnia.

Posição das empresas sobre permissões dos apps do Android

Segundo nota contida no estudo, quando o Google foi notificado da falha com os apps do Android em setembro de 2018 a companhia informou que só resolveria a questão quando o Android Q fosse lançado, no terceiro trimestre de 2019 (ou seja, um ano depois); de fato a empresa se comprometeu a esconder os metadados de fotos e impedir que apps tenham acesso a eles, além de reforçar a segurança de permissões de dados de redes Wi-Fi.

O problema é que tal falha é relativamente séria e não deveria levar tanto tempo para ser corrigida, assim, trazer o problema à luz é uma alternativa para fazer o Google (e as desenvolvedoras de apps) se coçar um pouco e tomar tenência. De qualquer forma, Mountain View não voltou a se manifestar sobre o asunto até o presente momento.

Através de nota a porta-voz do app Shuttefly negou as acusações do estudo, afirmando que o software apenas faz coleta de dados se o usuário permitir. Baidu, Disney e Samsung não quiseram comentar.

Com informações: CNET.