Aplicativos Android estão coletando dados de usuários mesmo após a negação de permissão

Mais de 1.000 aplicativos Android estão coletando seus dados sem permissão

Um novo estudo de pesquisa revelou que mais de 1.000 aplicativos Android disponíveis na Google Play Store violaram permissões para roubar dados privados, como mensagens, registros de chamadas, fotos e mais.

Pesquisadores do Instituto Internacional de Ciência da Computação da UC Berkeley (ICSI), que produziu a pesquisa, testaram 88.000 aplicativos da Google Play Store dos EUA e descobriram que 1.325 aplicativos coletaram informações sobre dados de geolocalização e identificadores de telefone.

Relacionado - 10 dos Melhores Aplicativos Android Gratuitos

O estudo publicado no site da Comissão Federal de Comércio (FTC) citou 153 aplicativos, incluindo Samsung Health, o Navegador da Samsung, Shutterfly e o aplicativo do parque Disneyland de Hong Kong da Disney, que coletaram dados sem permissões explícitas.

“Plataformas modernas de smartphones implementam modelos baseados em permissões para proteger o acesso a dados sensíveis e recursos do sistema. No entanto, os aplicativos podem contornar o modelo de permissão e obter acesso a dados protegidos sem o consentimento do usuário, utilizando canais encobertos e laterais”, escreveram os pesquisadores em um extenso relatório.

“Canais laterais presentes na implementação do sistema de permissão permitem que aplicativos acessem dados protegidos e recursos do sistema sem permissão; enquanto canais encobertos possibilitam a comunicação entre dois aplicativos coniventes, de modo que um aplicativo possa compartilhar seus dados protegidos por permissão com outro aplicativo que não possui essas permissões. Ambos representam ameaças à privacidade do usuário.”

Por exemplo, os pesquisadores descobriram que o Shutterfly – o site de compartilhamento de fotos usado para editar fotos – estava coletando dados de GPS de telefones móveis e enviando-os para seus próprios servidores, independentemente de os usuários terem permitido ou negado a permissão do aplicativo para acessar dados de localização.

“Como muitos serviços de fotos, o Shutterfly usa esses dados para melhorar a experiência do usuário com recursos como categorização e sugestões de produtos personalizadas, tudo de acordo com a política de privacidade do Shutterfly, bem como o acordo de desenvolvedor do Android”, disse a empresa em um comunicado respondendo ao estudo, esclarecendo que coleta dados de GPS apenas daqueles que lhe dão permissão.

No caso do Disneyland de Hong Kong, foi descoberto que o aplicativo usava o cartão SD como um canal encoberto para armazenar informações do IMEI do telefone. Embora 13 aplicativos tenham sido encontrados explorando esse canal encoberto para obter as informações do IMEI, esses aplicativos foram instalados mais de 17 milhões de vezes.

“O número de usuários potenciais impactados por essas descobertas está na casa das centenas de milhões. Essas práticas enganosas permitem que os desenvolvedores acessem os dados privados dos usuários sem consentimento, minando a privacidade do usuário e gerando preocupações legais e éticas”, escreveram os pesquisadores.

“A legislação de proteção de dados em todo o mundo – incluindo o Regulamento Geral sobre a Proteção de Dados (GDPR) na Europa, a Lei de Privacidade do Consumidor da Califórnia (CCPA) e leis de proteção ao consumidor, como a Lei da Comissão Federal de Comércio – impõem transparência nas práticas de coleta, processamento e compartilhamento de dados de aplicativos móveis.”

Os pesquisadores que relataram suas descobertas ao Google em setembro do ano passado dizem que alguns deles podem ser corrigidos no próximo sistema operacional Android Q, programado para ser lançado este ano. Isso significa que vários usuários de smartphones mais antigos que não recebem as atualizações do Android Q continuarão enfrentando o problema, deixando seus dispositivos vulneráveis.

Relacionado - A Microsoft está injetando anúncios para instalar seus outros aplicativos no Android

“Ao descobrir essas práticas e tornar nossos dados públicos, esperamos fornecer dados e ferramentas suficientes para que os reguladores possam tomar ações de fiscalização, a indústria identifique e corrija problemas antes de lançar aplicativos, e permitir que os consumidores tomem decisões informadas sobre os aplicativos que utilizam”, disseram os pesquisadores.

Os pesquisadores sugerem que o Google deve considerar essas questões de privacidade como vulnerabilidades de segurança sérias e precisa atualizar a forma como as permissões funcionam.

Leia também - Melhor Antivírus Gratuito para Smartphones Android