Pular para o conteúdo principal

Não é só o FaceApp, milhares de aplicativos espionam o usuário mesmo sem permissão - ISABEL RUBIO 18 JUL 2019 - POR: EL PAÍS

Quase 13.000 programas burlam as permissões do Android para recolher dados dos donos dos celulares

FaceApp
Um celular com o aplicativo FaceApp.  AP
O caso do FaceApp, aplicativo que usa inteligência artificial para envelhecer um rosto de forma realista, fez todos os olhares se voltarem para um aspecto comum, que poucos usuários notam. Ao instalá-lo, surge o aviso de que todos os nossos dados serão utilizados e inclusive cedidos terceiros, sem nenhum controle. O alerta é dado num processo que poucos usuários leem, ou que aceitam sem pensar nas consequências. Mas alguns programas para celulares podem não necessitar nem sequer do consentimento explícito. Milhares de aplicativos burlam as limitações e espionam, mesmo sem receberem autorização do dono do celular.
Afinal, para que a lanterna do aparelho precisa ter acesso à localização de um usuário? E um aplicativo de retoque fotográfico ao microfone? Ou um gravador aos seus contatos? Em princípio, esses aplicativos não precisam de permissões desse tipo para funcionar. Quando agem assim, costuma ser para procurar um bem extremamente valioso: os dados. Os usuários podem dar ou negar diferentes permissões aos aplicativos para que acessem sua localização, os contatos e os arquivos armazenados no telefone. Mas uma pesquisa de uma equipe de especialistas em segurança cibernética revelou que até 12.923 appsencontraram a forma de continuar recolhendo informação privada apesar de as autorizações terem sido explicitamente negadas.

Os especialistas ainda não divulgaram a lista completa de aplicativos que realizam essas práticas. Mas, segundo a pesquisa, encontram-se entre elas a aplicativo do parque
 Disney de Hong Kong, o navegador da Samsung e o buscador chinês Baidu. O número de usuários potenciais afetados por essas descobertas é de “centenas de milhões”.Esse estudo expõe a dificuldade dos usuários em proteger sua privacidade. Pesquisadores do Instituto Internacional de Ciências Computacionais (ICSI) em Berkeley, do IMDEA Networks Institute de Madri, da Universidade de Calgary (Canadá) e da empresa AppCensus analisaram um total de 88.000 aplicativos da Play Store e observaram que milhares deles acessam informações como localização ou dados do aparelho no qual o usuário tinha previamente recusado essas autorizações.
Borja Adsuara, advogado especialista em direito digital, afirma que se trata de “uma infração muito grave”, porque o sistema operacional Android exige que os apps peçam o acesso consentido a esses dados através de permissões, e o usuário lhes diz expressamente que não. O consentimento, explica, funciona de forma muito parecida tanto na intimidade física como na não física – os dados pessoais. “É como no caso de um estupro em que a vítima diz expressamente que não”, compara.
Narseo Vallina-Rodríguez, coautor do estudo, diz que “não está claro se haverá correções ou atualizações para os bilhões de usuários Android que atualmente utilizam versões do sistema operacional com essas vulnerabilidades”. O Googlenão especificou a este jornal se cogita retirar do mercado ou tomar alguma medida contra os aplicativos que, segundo o estudo, acessam os dados dos usuários sem a permissão pertinente. No entanto, assegurou que o problema será resolvido com o Android Q, a próxima versão de seu sistema operacional. A companhia pretende lançar nos próximos meses seis versões beta do Android Q, até oferecer a versão final durante o terceiro trimestre do ano.
Como os aplicativos acessam a informação privada do usuário sem as permissões necessárias? Eles burlam os mecanismos de controle do sistema operacional mediante os chamados side channels (canais paralelos) e covert channels (canais encobertos). Vallina faz a seguinte comparação: “Para entrar em uma casa, [o dado do usuário] pode passar pela porta com a chave que o dono lhe deu [a permissão], mas também pode entrar sem o consentimento do proprietário, aproveitando-se de uma vulnerabilidade da porta [um side channel] ou com a ajuda de alguém que já está dentro [covert channel]”.
Não é só o FaceApp, milhares de aplicativos espionam o usuário mesmo sem permissão
“Você pode abrir uma porta com uma chave, mas também pode encontrar a forma de fazê-lo sem ter essa chave”, prossegue o especialista. O mesmo ocorre ao tentar acessar a geolocalização de um aparelho. Ele pode não ter acesso ao GPS, mas mesmo assim encontrar o modo de acessar a informação de posicionamento do usuário.

Metadados

Uma forma de fazer isso é através dos metadados que estão integrados às fotos tiradas pelo dono do smartphone, segundo Vallina. “Por definição, cada foto tirada por um usuário Android contém metadados como a posição e a hora. Vários apps acessam a posição histórica do usuário pedindo a permissão para ler o cartão de memória, porque é lá onde estão armazenadas as fotos, sem ter que pedir acesso ao GPS”, explica. É o caso do Shutterfly, um aplicativo de edição de fotografia. Os pesquisadores comprovaram que ele reunia informação de coordenadas do GPS a partir das imagens dos usuários, mesmo que estes tivessem negado a permissão para acessar a sua localização.
Também é possível acessar a geolocalização através do ponto de acesso wi-ficom o endereço MAC do router, um identificador atribuído pelo fabricante que pode ser correlacionado com bases de dados existentes e averiguar a posição do usuário “com uma resolução bastante precisa”.
Para que o aplicativo possa acessar essa informação, existe uma permissão que o usuário deve ativar em seu smartphone, chamado “informação da conexão wi-fi”, conforme ensina Vallina. Mas há apps que conseguem obter esses dados sem que a permissão esteja ativada. Para isso, extraem a direção MAC do router, que o aparelho obtém mediante o protocolo ARP (Address Resolution Protocol), que serve por sua vez para conectar e descobrir os dispositivos que estão em uma rede local. Ou seja, os aplicativos podem acessar uma pasta que expõe a informação MAC do ponto de acesso wi-fi: “Se você sem nenhum tipo de licença lê essa pasta que o sistema operacional expõe, pode saber a geolocalização de forma totalmente opaca para o usuário”.

Bibliotecas de terceiros

Muitos desses vazamentos de dados ou abusos à privacidade do usuário são feitos através de bibliotecas, que são serviços ou miniprogramas de terceiros incluídos no código dos aplicativos. Essas bibliotecas são executadas com os mesmos privilégios que o app em que se encontram. Em muitas ocasiões, o usuário nem está consciente de sua existência. “Muitos desses serviços têm um modelo de negócio que está baseado na obtenção e processamento dos dados pessoais”, diz o pesquisador.
Não é só o FaceApp, milhares de aplicativos espionam o usuário mesmo sem permissão
Por exemplo, aplicativos como a da Disney de Hong Kong utilizam o serviço de mapas da companhia chinesa Baidu. Assim, podem acessar, sem necessidade de qualquer permissão, informações como o IMEI e outros identificadores que as bibliotecas do buscador chinês armazenam no cartão SD. Os aplicativos de saúde e navegação da Samsung, que estão instalados em mais de 500 milhões de aparelhos, também utilizaram este tipo de bibliotecas para seu funcionamento. “A própria biblioteca explora essas vulnerabilidades a fim de acessar esses dados para seus próprios fins. Não está claro se depois o desenvolvedor do app acessa os dados através da biblioteca”, explica.
Vallina afirma que nas próximas pesquisas será analisado o ecossistema das bibliotecas de terceiros e para que finalidades os dados são obtidos. Também estudarão os modelos de rentabilização existentes no Android e a transparência dos aplicativos quanto ao que eles fazem e o que dizem fazer nas políticas de privacidade. Para evitar práticas desse tipo, Joel Reardon, também coautor do estudo, aponta a importância de realizar pesquisas desse tipo com o objetivo de “encontrar esses erros e preveni-los”.
Se os desenvolvedores de aplicativos podem evitar as permissões, faz sentido pedir permissão aos usuários? “Sim”, responde Reardon, taxativo. O pesquisador insiste em que os aplicativos não podem burlar todos os mecanismos de controle, e que pouco a pouco ficará mais difícil para eles. “O sistema de permissões têm muitas falhas, mas ainda assim ele serve para algo e persegue um propósito importante”, afirma.

Responsabilidade dos desenvolvedores

No caso de usuários na Espanha, estas práticas realizadas sem o consentimento descumprem, entre outras normativas, o Regulamento Geral de Proteção de Dados (RGPD) e a Lei Orgânica de Proteção de Dados. Os desenvolvedores desses aplicativos poderiam enfrentar, segundo o RGPD, sanções econômicas de até 20 milhões de euros (75,3 milhões de reais) ou 4% do faturamento anual da empresa. E inclusive poderiam responder por um delito contra a intimidade (artigo 197 do Código Penal espanhol) que poderia acarretar penas da prisão, segundo Adsuara.
O advogado afirma que a maior parte da responsabilidade recai sobre os desenvolvedores. Mas considera que tanto as lojas – Google Play e Apple Store – como as plataformas que permitem o acesso dos aplicativos aos dados de seus usuários – como o Facebook, no caso Cambridge Analytica – têm uma responsabilidade in vigilando: “Quer dizer, o dever de vigiar que os aplicativos que sua loja aceita ou aos quais permitem que tenham aos dados de seus usuários em sua plataforma sejam seguros”.
“Embora cada um seja responsável por seus atos, sente-se a falta de alguma autoridade espanhola ou europeia que revise a segurança dos aplicativos e serviços antes de seu lançamento no mercado”, afirma. E salienta que, em outros setores, existe algum tipo de certificação que garante que um produto ou serviço seja seguro. “A ninguém ocorre, por exemplo, que se autorize a circulação de carros com os freios falhando. Para não falar em remédios, alimentos e brinquedos. Entretanto, é normal no setor que se lancem no mercado aplicativos e serviços com falhas de segurança que, depois, com o bonde andando, vão emendando”.

Comentários

Postagens mais visitadas deste blog

Carta das Centrais Sindicais ao Presidente Bolsonaro

“EXMO. SR. JAIR MESSIAS BOLSONARO MD. PRESIDENTE DA REPÚBLICA FEDERATIVA DO BRASIL BRASÍLIA – DF Senhor Presidente, As Centrais Sindicais que firmam a presente vem, respeitosamente, apresentar-se à Vossa Excelência com a disposição de construir um diálogo em benefício dos trabalhadores e do povo brasileiro. Neste diálogo representamos os trabalhadores, penalizados pelo desemprego que atinge cerca de 12,4 milhões de pessoas, 11,7% da população economicamente ativa (IBGE/PNAD, novembro de 2018) e pelo aumento da informalidade e consequente precarização do trabalho. Temos assistido ao desmonte de direitos historicamente conquistados, sendo as maiores expressões desse desmonte a reforma trabalhista de 2017, os intentos de reduzir direitos à aposentadoria decente e outros benefícios previdenciários, o congelamento da política de valorização do salário mínimo e os ataques à organização sindical, as maiores expressões deste desmonte. Preocupa-nos sobremaneira o destino da pol

19 Exemplos de publicidade social que nos fazem pensar em problemas urgentes - POR: INCRÍVEL.CLUB

Criadores de propagandas de cunho social têm um grande desafio: as pessoas precisam não apenas notar a mensagem, mas também lembrar dela. Você deve admitir que, mesmo passados vários anos, não consegue tirar da cabeça algumas peças publicitárias desse tipo, que fizeram com que passasse a enxergar determinadas situações sob uma outra ótica. Se antes as propagandas sociais abordavam tmas como a poluição do meio ambiente com plástico e o aquecimento global, hoje existem campanhas sobre os perigos do sedentarismo, os riscos que o tabagismo representa aos animais em decorrência do aumento de incêndios florestais e até sobre a importância das férias para a saúde humana. São, portanto, peças que abordam problemas atuais e familiares para muita gente. Neste post, o  Incrível.club  mostra a você o que de melhor foi criado recentemente no campo das propagandas de cunho social. Fumar não é prejudicial apenas à sua saúde, mas também aos animais que vivem em áreas que sofrem com incênd

Empresas impõem regras para jornalistas

REDE SOCIAIS Por Natalia Mazotte em 24/5/2011 Reproduzido do Jornalismo nas Américas http://knightcenter.utexas.edu/pt-br/ , 19/5/2011, título original: "Site de notícias brasileiro adota regras para o uso das redes sociais por jornalistas"; intertítulo do OI Seguindo a tendência de veículos internacionais , o site de notícias UOL divulgou aos seus jornalistas normas para o uso de redes sociais , de acordo com o blog Liberdade Digital. As recomendações se assemelham às já adotadas por empresas de notícias como Bloomberg , Washington Post e Reuters : os jornalistas devem evitar manifestações partidárias e políticas, antecipar reportagens ainda não publicadas ou divulgar bastidores da redação e emitir juízos que comprometam a independência ou prejudiquem a imagem do site. Segundo um repórter do UOL, os jornalistas estão tuitando menos desde que as diretrizes foram divulgadas . "As pessoas estão tuitando bem menos. Alguns cogitam deletar seus p