São mais de mil as apps para Android, presentes na Google Play Store, que continuam a recolher dados como a localização do utilizador, mesmo sem ter permissão para tal. Estas foram algumas das conclusões apresentadas num recente estudo, dado a conhecer durante a conferência PrivacyCon 2019, nos EUA.
O estudo retrata uma realidade demasiado comum para os utilizadores do sistema operativo Android.
Será a privacidade uma mera ilusão? Ou, quando negamos as permissões de acesso à localização pedidas por uma determinada app para Android, será que isso funciona realmente? Infelizmente, para 1325 aplicações detetadas, mesmo sem ter as permissões necessárias, todas disponíveis na Google Play Store.
Foram identificadas 1325 apps na Google Play Store
De acordo com os investigadores do International Computer Science Institute (ICSI), do estado norte-americano da Califórnia, o Android continua a ser palco dos mais variados acessos indevidos aos nossos dados. Isto é, são assim várias as apps que utilizam diversas formas de contornar as permissões pedidas pelo sistema.
Os nossos esforços detetaram um número de canais laterais e disfarçados que estão a ser utilizados para contornar as permissões pedidas pelo sistema Android, pode ler-se nas conclusões do estudo supracitado.
O número de utilizadores afetados é desconhecido, mas pode ascender facilmente às centenas de milhares, versa ainda o mesmo estudo.
"50 Ways to Leak Your Data: An Exploration of Apps’ Circumvention of the Android Permissions System." Nothing new or unexpected, but a good summary. #PrivacyConhttps://t.co/McKrecm9Oz
— Cammel (@CammelNerd) July 9, 2019
De igual modo, importa frisar que o estudo em questão, apresentado diante a conferência PrivacyCon 2019, certame organizado pela Federal Trade Comission dos EUA, estudou cerca de 88 mil aplicações. A partir desse universo, em 1325 detetou práticas não declaradas para conseguirem aceder a vários dados do utilizador.
A constante devassa da nossa privacidade
De acordo com um dos investigadores do ICSI, os utilizadores continuam a ver ser a sua privacidade devassada, mesmo sem o saber. “Fundamentalmente, o utilizador continua a ter poucas ferramentas, ou pistas, para saber como controlar a sua privacidade, tomar alguma decisão em relação a esta”.
Se os programadores de apps para Android podem simplesmente contornar as permissões pedidas pelo sistema, então todo o mecanismo é inútil. Afirmações de Serge Egelman durante a conferência supracitada, de acordo com a Cnet.
Isto é, sendo possível ignorar o habitual pedido de permissões por uma app, todo o sistema fica em cheque. Ao propósito, apontamos que esta realidade se verifica com a mais recente versão do sistema operativo da Google, o Android Pie. De igual modo, estas apps estão normalmente listadas na Google Play Store.
As mais variadas apps para Android
Enquadradas em diversas categorias, feitas pela mão dos mais diversos programadores. No entanto, as mais de 1300 apps para Android partilham uma forma de contornar os mecanismos de segurança. Note-se ainda que os fins que motivam esta prática também variam, mas sendo sempre a localização um dos “alvos” visados.
Assim sendo, importa naturalmente perceber como é que estes meios acessórios acabam por contornar as permissões exigidas pelo sistema. Ainda que o exato modus operandi não seja claro, o mesmo aparenta ser executado através de várias etapas. Para tal, em primeiro lugar identificam dados exclusivos de cada número.
Em seguida, mesmo que recuse conceder permissões de acesso à localização, a app pede outras autorizações. Por exemplo, o acesso ao armazenamento interno, por norma inócuo. No entanto, os programadores usam os pedidos graudais de permissões para deixar “pistas” entre os pedidos. No final, colhem um panorama geral.
Subterfúgios utilizados para obter acesso à sua localização
Em suma, perante um primeiro pedido de permissões, seguia-se um segundo, e um terceiro, por exemplo. Ora, ainda que aceitasse apenas alguns, entre cada etapa eram deixados dados, colhidos no final de todos os pedidos, aceites ou não. Informações estas que eram partilhadas entre apps e respetivos servidores.
São essencialmente “migalhas” que eram passadas entre as várias etapas, entre várias apps de um mesmo programador e respetivos servidores. Desse modo, os dados ficavam sujeitos à interceção por várias fontes, ou mesmo. Em síntese, temos um universo de fontes paralelas a cruzar dados para chegar a um resultado final.
An interactive map of hidden third-party tracking services on Android apps, impressive: https://t.co/PZtjrVtCls (via @narseo at #PrivacyCon) pic.twitter.com/fCeMu4IgKd
— Wolfie Christl (@WolfieChristl) January 12, 2017
Ainda de acordo com a mesma fonte, temos apps oriundas da Disney, ou da Samsung. Entre si, o número de instalações é avassalador, bem como o número de utilizadores potencialmente visados. Por outras palavras, é já uma prática comum, a utilização destes “atalhos” para conseguir de qualquer forma saber a nossa localização.
SKDs desenvolvidos pela Baidu na génese destas apps para Android
Mais concretamente, foram identificados vários SDKs concebidos pela gigante chinesa das pesquisas, a Baidu e uma empresa de análise de dados, a Salmonads. Entre si, as apps que nasciam destes SDKs podem partilhar informações e dados de umas para as outras, além de os cruzarem com os respetivos servidores.
Ao mesmo tempo, foram descobertos outros canais laterais para envio de dados. Aliás, em alguns casos estas apps podiam também identificar o endereço MAC da sua rede wi-fi, ou router. Sendo este um endereço único, era possível saber de onde provinha e, de forma simples, ficar a conhecer a sua localização.
Aprofundando a pesquisa, os investigadores identificaram a app Shutterfly, presente na Google Play Store, como uma das que acedia indevidamente à nossa localização. Aliás, esta app para Android enviava as exatas coordenadas de GPS para os seus servidores, mesmo sem a nossa permissão.
O exemplo da Shutterfly na Google Play Store
Homepage: Shutterfly, Inc.
Preço: Gratuito
É, para todos os efeitos, uma simples app de edição de fotos para Android. Além disso, tem uma ótima avalição de 4,6 estrelas na Google Play Store. De igual modo, apontamos os mais de 5 milhões de instalações. Isto em apenas uma das 1325 aplicações para Android identificadas no estudo em questão.
O que fará a Google para combater este flagelo?
Ainda que os investigadores apontem um dedo acusatório à Google, incitando-a a distribuir mais patches de segurança, a tecnológica não se pronunciou sobre o tema. No entanto, a empresa estará a implementar um sério reforço de segurança e privacidade na sua próxima versão do sistema, o Android Q.
Mesmo assim, esta versão ainda tardará em chegar e, a partir daí, dependerá também da sua taxa de adoção pela fabricantes e utilizadores. Ao propósito, salientamos que em maio último, de acordo com os dados oficiais, o Android Pie estava presente em apenas 10,4% dos dispositivos, com as versões antigas a dominar.
Em suma, este é apenas a mais recente afronta detetada à nossa privacidade. Infelizmente, não temos perceptivas imediatas para a melhoria desta situação na plataforma móvel da Google, restando-nos esperar pelo necessário reforço da privacidade no Android Q.