Investigadores do MIT analisaram o top 500 das aplicações mais populares para Android e descobriram que 63% dessas apps trocam comunicações com servidores remotos que não trazem qualquer impacto na utilização da aplicação, são trocas de informação inúteis.
O utilizador sabe? Se sabe ou não, é “pouco importante”, porque aceitou quando instalou a app. Estão naquelas letrinhas que ao instalar ninguém, ou quase ninguém lê e carrega logo no botão “Sim”, e siga. Afinal há muito que não se sabe.
Sinergias ou abuso de confiança?
Há muitas comunicações pelo meio que fazem parte dos dados estatísticos recolhidos pelo Google Play, contudo, nem tudo são estatísticas. Há casos que são umas apps que “falam” com outras. Por exemplo, quando os utilizadores nos Estados Unidos usam a app Walmart, esta comunica com o eBay sempre que é usada a funcionalidade que digitaliza um código de barras, quem diz essa, diz certamente outras do mesmo calibre.
Processando os dados das aplicações e comparando a interface antes e depois da ligação ter sido iniciada, os investigadores descobriram que 63% destas aplicações gratuitas Android, de facto, “sussurravam” dados secretos com “entidades” remotas.
Recompilar e dar a provar
Mas as conclusões não se ficaram por aqui, os investigadores descompilaram e modificaram 47 aplicações do top 100 das gratuitas, desactivando a sua capacidade de iniciar comunicações secretas.
Depois, essas aplicações foram colocadas à disposição das pessoas, convencionais e tradicionais utilizadores já dessas aplicações, que as conheciam e usavam. Em 30 dessas aplicações, nenhum relatou quaisquer diferenças entre a que estava a usar (modificada) e a original. Contudo, em 5 aplicações houve um problema e estas deixaram mesmo de funcionar, enquanto que as outras 12 mostraram um impacto mínimo sobre a interface do utilizador.
Google, é estatística ou negócio?
Na quase totalidade dos casos registados, a maioria das comunicações secretas foram iniciadas pelos mesmos componentes. O “maior agressor” é o com.google.android, utilizado em 76,4% de todas as apps analisadas. Os investigadores descobriram que o componente iniciou 1913 ligações secretas, 50% do seu número total de ligações.
Outros notáveis infractores são com.gameloft (jogos móveis), com.unity3d (plataforma e jogos), com.facebook (redes sociais) e uma série de SDKs de publicidade.
Curiosamente, uma das apps que tantas vezes esteve debaixo de fogo por estes motivos, a saga Candy Crash, e que estava presente no top, não passou qualquer informação secreta.
Conclusões das “letras pequeninas”
Este estudo está disponível ao público para que possa verificar quais as aplicações envolvidas, metodologias usadas e outros dados que sejam relevantes para perceber como são benévolos os utilizadores, principalmente quando aceitam os termos de utilização das aplicações que instalam. Por outro lado, poderão ser as técnicas usadas pelas empresas, a chamada engenharia social, que está de tal forma bem afinada que coloca no sítio certo esta informação, no acto final, junto ao último passo da instalação, onde a ansiedade é maior, por forma a não dar oportunidade ao discernimento para ler com atenção até onde o utilizador escancara a porta dos seus dados.