Mais de 1000 aplicativos Android roubam seus dados sem sua permissão

Mais de 1000 aplicativos Android roubam seus dados sem sua permissão

8 de julho de 2019 Off Por Suporte Rede Digital

Quando um aplicativo Android pede para acessar seus dados de localização e você nega permissão, o aplicativo segue as regras? Talvez não.

Mais de 1.000 aplicativos para Android rotineiramente passam despercebidos pelas restrições do Google e coletam seus dados de localização e informações do telefone, mesmo quando você nega explicitamente a permissão do aplicativo, constatou um estudo acadêmico.

Entre os infratores estão o aplicativo Shutterfly, que coletou dados de localização sem permissão do usuário, eo aplicativo para Hong Kong Disneyland, que acessou IDs de telefone que outros aplicativos armazenaram desprotegidos no cartão SD de um telefone, embora a própria Disney possa não ter conhecimento do prática.

“O número de usuários em potencial afetados por essas descobertas está na casa das centenas de milhões”, conclui o estudo. “Essas práticas enganosas permitem que os desenvolvedores acessem os dados privados dos usuários sem consentimento, minando a privacidade do usuário e dando origem a preocupações legais e éticas.”

Esse tipo de esquisitice será mais difícil para os apps serem lançados no Android 10 Q , que será lançado no final deste verão. Mas até lá, você não poderá confiar que os aplicativos estão seguindo as regras estabelecidas por você e pelo Google. 

Até lá, analise as configurações do seu aplicativo, desative as permissões de local e ID para os aplicativos que não precisam deles e exclua os aplicativos que você não usa regularmente.

“Os aplicativos podem contornar o modelo de permissão e obter acesso a dados protegidos sem o consentimento do usuário usando canais ocultos e secundários”, explica o estudo, intitulado ” 50 maneiras de vazar seus dados ” e disponível on-line. “Ambos representam ameaças à privacidade do usuário.”

Canais secundários permitem que os aplicativos evitem o modelo de permissão do Android. Os canais ocultos são usados ​​quando os aplicativos que têm permissão para acessar os dados do usuário o compartilham, intencionalmente ou não, com aplicativos que não devem ter acesso.

Depois de estudar mais de 88 mil aplicativos para Android, os pesquisadores encontraram um total de 1.325 aplicativos que usaram pelo menos um desses métodos para coletar dados de usuários aos quais não tinham direito.

Alguns aplicativos coletavam secretamente dados de localização na forma de coordenadas de GPS, mas também coletavam os endereços MAC das estações de base da rede Wi-Fi, que informavam os aplicativos onde estavam os telefones. Os endereços MAC são identificadores exclusivos de interface de rede e existem listas públicas de endereços MAC de hotspot Wi-Fi conhecidos.

Os aplicativos também tiveram acesso não autorizado a endereços de e-mail de usuários, nomes de redes Wi-Fi, números de telefone e telefones e IDs exclusivos de cartões SIM. Os aplicativos provavelmente estão usando todos esses dados para obter preços mais altos para os anúncios, já que os profissionais de marketing querem saber onde você está. Mas os dados também podem ser usados ​​para rastrear

O aplicativo Shutterfly usou os metadados EXIF ​​gravados pelos aplicativos da câmera e incorporados nas fotos para determinar onde uma foto foi tirada, mesmo que o usuário tenha negado o acesso do Shutterfly aos dados de localização.

Shutterfly poderia estar acessando esses dados por razões inocentes, segundo o estudo. Mas também observou que “os casos em que um aplicativo contém tanto o código para acessar os dados através do sistema de permissão quanto o código que implementa uma evasão não admitem facilmente uma explicação inocente”.

Por exemplo, duas empresas chinesas, Baidu e Salmonad, certificaram-se de que seus aplicativos regularmente escreviam dados confidenciais no cartão SD de um telefone para que outros aplicativos das mesmas empresas pudessem lê-lo, independentemente de o usuário ter ou não concedido permissão para outros aplicativos tem esses dados.

A Salmonads é uma empresa de tecnologia de publicidade, como você provavelmente imagina. Mas a Baidu é uma das maiores empresas de internet do mundo, dominando o mercado chinês de mecanismos de busca e também oferecendo plataformas de redes sociais e publicidade. É tão onipresente na China quanto o Google, o Facebook e a Amazon estão nos EUA.

O serviço de mapeamento do Baidu, semelhante ao Google Maps, é usado pelo aplicativo Disney da Disney em Hong Kong para guiar os visitantes pelo parque. O serviço de mapeamento pegaria o ID do dispositivo do telefone e o gravaria no cartão SD do telefone para que outros aplicativos do Baidu pudessem lê-lo – assim como qualquer aplicativo que soubesse onde procurar.

Os pesquisadores descobriram que o Baidu Maps fazia o mesmo com os aplicativos do Disney’s Disneyland, da Disney, e para o aplicativo Health e o navegador Android da Samsung. 

As empresas chinesas não foram as únicas violadoras flagrantes. O mecanismo de jogos Unity, desenvolvido pela Unity Technologies, sediada em San Francisco, e usado por dezenas de jogos para Android, foi descoberto pelos pesquisadores como o envio de endereços MAC dos telefones para os servidores da Unity, independentemente de um jogo ter ou não permissão para isso.

No geral, o relatório sugere, os Estados Unidos podem ter que reformular completamente o modo como ele rege o comportamento do software.

“Nos EUA, as práticas de privacidade são regidas pela estrutura de ‘aviso e consentimento'”, observam os autores. “Que os aplicativos podem contornar a estrutura de notificação e consentimento é mais uma evidência do fracasso da estrutura.”

O estudo foi conduzido por pesquisadores da Universidade da Califórnia, Berkeley, o Instituto Internacional de Ciência da Computação em Berkeley, o Instituto de Redes IMDEA na Espanha e da Universidade de Calgary. Três dos seis pesquisadores também trabalham para o AppCensus, uma empresa com fins lucrativos que examina os comportamentos de privacidade de aplicativos de smartphones.

O documento foi divulgado em conjunto com a conferência PrivacyCon da Federal Trade Commission em Washington, DC em 27 de junho.

As descobertas foram divulgadas tanto para o Google, que tem o poder de chutar apps violando seus Termos de Serviço fora da Google Play Store, quanto para a Federal Trade Commission, que tem o poder de multar as empresas que violam flagrantemente a privacidade do usuário.

Crédito: tomsguide.com