Não é só o FaceApp, milhares de aplicativos espionam o usuário mesmo sem permissão - ISABEL RUBIO 18 JUL 2019 - POR: EL PAÍS

Quase 13.000 programas burlam as permissões do Android para recolher dados dos donos dos celulares

Um celular com o aplicativo FaceApp. JENNY KANE AP

O caso do FaceApp, aplicativo que usa inteligência artificial para envelhecer um rosto de forma realista, fez todos os olhares se voltarem para um aspecto comum, que poucos usuários notam. Ao instalá-lo, surge o aviso de que todos os nossos dados serão utilizados e inclusive cedidos terceiros, sem nenhum controle. O alerta é dado num processo que poucos usuários leem, ou que aceitam sem pensar nas consequências. Mas alguns programas para celulares podem não necessitar nem sequer do consentimento explícito. Milhares de aplicativos burlam as limitações e espionam, mesmo sem receberem autorização do dono do celular.

Afinal, para que a lanterna do aparelho precisa ter acesso à localização de um usuário? E um aplicativo de retoque fotográfico ao microfone? Ou um gravador aos seus contatos? Em princípio, esses aplicativos não precisam de permissões desse tipo para funcionar. Quando agem assim, costuma ser para procurar um bem extremamente valioso: os dados. Os usuários podem dar ou negar diferentes permissões aos aplicativos para que acessem sua localização, os contatos e os arquivos armazenados no telefone. Mas uma pesquisa de uma equipe de especialistas em segurança cibernética revelou que até 12.923 appsencontraram a forma de continuar recolhendo informação privada apesar de as autorizações terem sido explicitamente negadas.

Os especialistas ainda não divulgaram a lista completa de aplicativos que realizam essas práticas. Mas, segundo a pesquisa, encontram-se entre elas a aplicativo do parque Disney de Hong Kong, o navegador da Samsung e o buscador chinês Baidu. O número de usuários potenciais afetados por essas descobertas é de “centenas de milhões”.Esse estudo expõe a dificuldade dos usuários em proteger sua privacidade. Pesquisadores do Instituto Internacional de Ciências Computacionais (ICSI) em Berkeley, do IMDEA Networks Institute de Madri, da Universidade de Calgary (Canadá) e da empresa AppCensus analisaram um total de 88.000 aplicativos da Play Store e observaram que milhares deles acessam informações como localização ou dados do aparelho no qual o usuário tinha previamente recusado essas autorizações.

Borja Adsuara, advogado especialista em direito digital, afirma que se trata de “uma infração muito grave”, porque o sistema operacional Android exige que os apps peçam o acesso consentido a esses dados através de permissões, e o usuário lhes diz expressamente que não. O consentimento, explica, funciona de forma muito parecida tanto na intimidade física como na não física – os dados pessoais. “É como no caso de um estupro em que a vítima diz expressamente que não”, compara.

Narseo Vallina-Rodríguez, coautor do estudo, diz que “não está claro se haverá correções ou atualizações para os bilhões de usuários Android que atualmente utilizam versões do sistema operacional com essas vulnerabilidades”. O Googlenão especificou a este jornal se cogita retirar do mercado ou tomar alguma medida contra os aplicativos que, segundo o estudo, acessam os dados dos usuários sem a permissão pertinente. No entanto, assegurou que o problema será resolvido com o Android Q, a próxima versão de seu sistema operacional. A companhia pretende lançar nos próximos meses seis versões beta do Android Q, até oferecer a versão final durante o terceiro trimestre do ano.

Como os aplicativos acessam a informação privada do usuário sem as permissões necessárias? Eles burlam os mecanismos de controle do sistema operacional mediante os chamados side channels (canais paralelos) e covert channels (canais encobertos). Vallina faz a seguinte comparação: “Para entrar em uma casa, [o dado do usuário] pode passar pela porta com a chave que o dono lhe deu [a permissão], mas também pode entrar sem o consentimento do proprietário, aproveitando-se de uma vulnerabilidade da porta [um side channel] ou com a ajuda de alguém que já está dentro [covert channel]”.

“Você pode abrir uma porta com uma chave, mas também pode encontrar a forma de fazê-lo sem ter essa chave”, prossegue o especialista. O mesmo ocorre ao tentar acessar a geolocalização de um aparelho. Ele pode não ter acesso ao GPS, mas mesmo assim encontrar o modo de acessar a informação de posicionamento do usuário.

Metadados

Uma forma de fazer isso é através dos metadados que estão integrados às fotos tiradas pelo dono do smartphone, segundo Vallina. “Por definição, cada foto tirada por um usuário Android contém metadados como a posição e a hora. Vários apps acessam a posição histórica do usuário pedindo a permissão para ler o cartão de memória, porque é lá onde estão armazenadas as fotos, sem ter que pedir acesso ao GPS”, explica. É o caso do Shutterfly, um aplicativo de edição de fotografia. Os pesquisadores comprovaram que ele reunia informação de coordenadas do GPS a partir das imagens dos usuários, mesmo que estes tivessem negado a permissão para acessar a sua localização.

Também é possível acessar a geolocalização através do ponto de acesso wi-ficom o endereço MAC do router, um identificador atribuído pelo fabricante que pode ser correlacionado com bases de dados existentes e averiguar a posição do usuário “com uma resolução bastante precisa”.

Para que o aplicativo possa acessar essa informação, existe uma permissão que o usuário deve ativar em seu smartphone, chamado “informação da conexão wi-fi”, conforme ensina Vallina. Mas há apps que conseguem obter esses dados sem que a permissão esteja ativada. Para isso, extraem a direção MAC do router, que o aparelho obtém mediante o protocolo ARP (Address Resolution Protocol), que serve por sua vez para conectar e descobrir os dispositivos que estão em uma rede local. Ou seja, os aplicativos podem acessar uma pasta que expõe a informação MAC do ponto de acesso wi-fi: “Se você sem nenhum tipo de licença lê essa pasta que o sistema operacional expõe, pode saber a geolocalização de forma totalmente opaca para o usuário”.

Bibliotecas de terceiros

Muitos desses vazamentos de dados ou abusos à privacidade do usuário são feitos através de bibliotecas, que são serviços ou miniprogramas de terceiros incluídos no código dos aplicativos. Essas bibliotecas são executadas com os mesmos privilégios que o app em que se encontram. Em muitas ocasiões, o usuário nem está consciente de sua existência. “Muitos desses serviços têm um modelo de negócio que está baseado na obtenção e processamento dos dados pessoais”, diz o pesquisador.

Por exemplo, aplicativos como a da Disney de Hong Kong utilizam o serviço de mapas da companhia chinesa Baidu. Assim, podem acessar, sem necessidade de qualquer permissão, informações como o IMEI e outros identificadores que as bibliotecas do buscador chinês armazenam no cartão SD. Os aplicativos de saúde e navegação da Samsung, que estão instalados em mais de 500 milhões de aparelhos, também utilizaram este tipo de bibliotecas para seu funcionamento. “A própria biblioteca explora essas vulnerabilidades a fim de acessar esses dados para seus próprios fins. Não está claro se depois o desenvolvedor do app acessa os dados através da biblioteca”, explica.

Vallina afirma que nas próximas pesquisas será analisado o ecossistema das bibliotecas de terceiros e para que finalidades os dados são obtidos. Também estudarão os modelos de rentabilização existentes no Android e a transparência dos aplicativos quanto ao que eles fazem e o que dizem fazer nas políticas de privacidade. Para evitar práticas desse tipo, Joel Reardon, também coautor do estudo, aponta a importância de realizar pesquisas desse tipo com o objetivo de “encontrar esses erros e preveni-los”.

Se os desenvolvedores de aplicativos podem evitar as permissões, faz sentido pedir permissão aos usuários? “Sim”, responde Reardon, taxativo. O pesquisador insiste em que os aplicativos não podem burlar todos os mecanismos de controle, e que pouco a pouco ficará mais difícil para eles. “O sistema de permissões têm muitas falhas, mas ainda assim ele serve para algo e persegue um propósito importante”, afirma.

Responsabilidade dos desenvolvedores

No caso de usuários na Espanha, estas práticas realizadas sem o consentimento descumprem, entre outras normativas, o Regulamento Geral de Proteção de Dados (RGPD) e a Lei Orgânica de Proteção de Dados. Os desenvolvedores desses aplicativos poderiam enfrentar, segundo o RGPD, sanções econômicas de até 20 milhões de euros (75,3 milhões de reais) ou 4% do faturamento anual da empresa. E inclusive poderiam responder por um delito contra a intimidade (artigo 197 do Código Penal espanhol) que poderia acarretar penas da prisão, segundo Adsuara.

O advogado afirma que a maior parte da responsabilidade recai sobre os desenvolvedores. Mas considera que tanto as lojas – Google Play e Apple Store – como as plataformas que permitem o acesso dos aplicativos aos dados de seus usuários – como o Facebook, no caso Cambridge Analytica – têm uma responsabilidade in vigilando: “Quer dizer, o dever de vigiar que os aplicativos que sua loja aceita ou aos quais permitem que tenham aos dados de seus usuários em sua plataforma sejam seguros”.

“Embora cada um seja responsável por seus atos, sente-se a falta de alguma autoridade espanhola ou europeia que revise a segurança dos aplicativos e serviços antes de seu lançamento no mercado”, afirma. E salienta que, em outros setores, existe algum tipo de certificação que garante que um produto ou serviço seja seguro. “A ninguém ocorre, por exemplo, que se autorize a circulação de carros com os freios falhando. Para não falar em remédios, alimentos e brinquedos. Entretanto, é normal no setor que se lancem no mercado aplicativos e serviços com falhas de segurança que, depois, com o bonde andando, vão emendando”.