Invasão sem permissão: 1.300 aplicativos populares do Android acessam dados sem permissões

Invasão sem permissão: 1.300 aplicativos populares do Android acessam dados sem permissões

9 de julho de 2019 Off Por Suporte Rede Digital

Mais de 1.300 apps bem populares do Android desafiam as permissões dos usuários e coletam dados confidenciais sem consentimento, de acordo com um estudo de uma coalizão de acadêmicos do International Computer Science Institute.

O relatório analisou aplicativos móveis populares disponíveis através da versão americana da Google Play Store, incluindo aplicativos publicados pela Disney, Samsung e fabricantes de aplicativos de nicho, como o popular aplicativo de fotos Shutterfly. O que os pesquisadores descobriram foi que muitos dos aplicativos extraíam informações confidenciais do usuário – incluindo dados atuais de geolocalização, dados históricos de geolocalização e endereços MAC – sem o consentimento.

Em um exemplo de como a evasão ocorre, os pesquisadores citaram a Shutterfly. Apesar de um usuário não ter dado permissão ao aplicativo para acessar informações de usuários particulares, a Shutterfly coleta dados de GPS usando metadados EXIF ​​(formato de arquivo de imagem trocável) de imagens de usuários, disseram os pesquisadores.

“Observamos que o aplicativo Shutterfy envia dados de geolocalização precisos para o seu próprio servidor sem a permissão de um local”, escreveram os pesquisadores. O Shutterfly coleta dados precisos de localização do telefone dos dados EXIF ​​gerados por cada imagem, o que incorpora as coordenadas de GPS em cada imagem tirada. “O aplicativo realmente processou o arquivo de imagem: ele analisou os metadados EXIF ​​- incluindo a localização – em um objeto JSON com campos de latitude e longitude rotulados e transmitiu seus servidores.”

O que a Shutterstock tem em comum com os outros aplicativos apontados pelos pesquisadores é que todos usam o mesmo kit de desenvolvimento de software (SDK) feito pela Baidu, com a ajuda de uma empresa de análises chamada Salmonads.

Pesquisadores explicam que o SDK é usado por todos os 1.300 aplicativos que ele analisou, então cada um compartilha o mesmo framework subjacente. Onde as coisas se tornam problemáticas é quando, por exemplo, o framework é compartilhado entre dois aplicativos. Um aplicativo restringe o acesso a dados de localização e o outro pode compartilhá-lo. Pesquisadores dizem que o SDK às vezes evita permissões restritivas de um aplicativo e adota as regras do outro aplicativo que compartilha dados do usuário.

Dessa forma, um aplicativo não precisa obter permissão no nível do dispositivo Android para acessar os dados de geolocalização. O aplicativo pode aproveitar a estrutura do SDK compartilhado e coletar dados de geolocalização de outro aplicativo que tenha permissões de local.

“Nosso trabalho mostra uma série de canais secundários e secretos que estão sendo usados ​​por aplicativos para contornar o sistema de permissões do Android”, escreveram os pesquisadores. “O número de usuários em potencial afetados por essas descobertas está na casa das centenas de milhões.”

Pesquisadores disseram que essa prática desafia as expectativas razoáveis ​​de privacidade dos usuários e que os comportamentos podem constituir violações de várias leis.

Dito isso, os pesquisadores não acreditam que a Shutterfly tenha qualquer intenção maliciosa; uma afirmação compartilhada pela empresa em um comunicado.

“Como muitos serviços de fotografia, a Shutterfly usa esses dados para aprimorar a experiência do usuário com recursos como categorização e sugestões personalizadas de produtos, tudo de acordo com a política de privacidade da Shutterfly, bem como com o contrato de desenvolvedor do Android”, afirmou a empresa. Um porta-voz da Shutterfly acrescentou em uma declaração que seu aplicativo só coleta informações pessoais com a permissão explícita de um usuário.

No entanto, os pesquisadores observam que o efeito colateral desse tipo de coleta de dados inadvertida pode nem sempre ser inocente.

Os pesquisadores descrevem duas maneiras pelas quais os dados podem ser compartilhados sem o consentimento. Uma delas é através de um “canal lateral”, onde os dados são feitos inadvertidamente para uma falha no design que acidentalmente vaza dados. O segundo é “canais secretos”.

“Um canal secreto é um esforço mais intencional e intencional entre duas entidades cooperantes, de modo que alguém com acesso a alguns dados o forneça à outra entidade sem acesso aos dados, violando o mecanismo de segurança”, escreveram os pesquisadores.

O estudo foi divulgado segunda-feira (PDF) pela Comissão Federal de Comércio como uma continuação do Confab PrivacyCon 2019 no mês passado. O estudo analisou 88.113 aplicativos populares da loja Google Play dos EUA e descobriu que 1.300 dos aplicativos e bibliotecas de terceiros que empregam canais secundários ou “canais secretos” para contornar as medidas de segurança do Android. Em todos os casos, os aplicativos podem acessar os dados de localização e o endereço MAC dos dispositivos dos usuários.

Pesquisadores entraram em contato com o Google e a FTC em setembro após sua análise final. O Google informou que seu Android Q , que deve ser lançado ainda este ano, abordará esse tipo de abuso de permissão.