Vídeo: iOS 14 Hands-On: Everything New! (Outubro 2024)
Desistimos de muita segurança e privacidade quando baixamos aplicativos da App Store da Apple e do Google Play. Raramente paramos para examinar o que os aplicativos estão fazendo em nossos dispositivos e com nossos dados e esquecemos que os desenvolvedores não priorizam a privacidade do usuário ao criar o aplicativo.
"O que acho que as pessoas não percebem que não somos clientes desses aplicativos gratuitos. Os anunciantes são", disse Michael Sutton, vice-presidente de pesquisa de segurança do Zscaler, à Security Watch.
Os desenvolvedores estão pensando no que os anunciantes desejam ao criar esses aplicativos, e são informações sobre os usuários e a capacidade de rastrear a atividade do usuário, disse Sutton. Portanto, quando se trata de permissões de aplicativos, não há nada que impeça os desenvolvedores de pedirem mais do que precisam. A maioria das pessoas não lê a lista de permissões antes de aceitar todas elas para instalar o aplicativo, e as pessoas geralmente não reclamam se o aplicativo parece pedir demais. Há casos em que os desenvolvedores solicitam permissões, independentemente de realmente precisarem delas.
De fato, "não há desincentivo para eles não, especialmente no lado Android da casa", disse Sutton.
Resultados da pesquisa do ZScaler
Pesquisadores do Zscaler ThreatLabz analisaram 550 aplicativos iOS e 75.000 aplicativos Android para entender como os dois sistemas operacionais móveis abordam a privacidade e a segurança. Em sua análise estática, a equipe procurou instâncias reais no código em que funções que exigem níveis específicos de acesso foram chamadas. Dessa forma, eles podiam verificar se a função estava realmente usando a permissão solicitada.
As descobertas são bastante profundas e fascinantes, como o fato de que mais de 60% dos aplicativos para iOS na categoria "Jogos e entretenimento" solicitam permissão para funções de telefonia e localização geográfica. Zscaler chamou essa descoberta de "preocupante", observando que houve relatos recentes de aplicativos espionando a atividade do usuário. Esse número é maior nos aplicativos Lifestyle, com 81% solicitando funcionalidade. No geral, 34% dos aplicativos iOS solicitaram permissão para acessar o catálogo de endereços, 83% solicitaram acesso a e-mail e 46% puderam ler o calendário do usuário.
"Com 97% dos aplicativos usando pelo menos uma das funcionalidades sendo rastreadas (catálogo de endereços, telefonia, localização, calendário de emails ou UUID), conforme declarado, estamos sendo consumidos tanto quanto, se não mais, do que consumimos", escreveu Zscaler em o blog.
No lado do Android, o Zscaler descobriu que 68% dos aplicativos que solicitam permissões de SMS pedem a capacidade de enviar mensagens SMS. Isso é algo para se preocupar, considerando a popularidade de fraudes por SMS e spam, enganando os usuários a enviar mensagens para números premium. Outros 28% dos aplicativos com permissões de SMS também solicitam a capacidade de ler mensagens SMS. Essa também é outra área de preocupação quando você considera o número de sites de banco móvel e outros serviços que enviam códigos via SMS para autenticação de dois fatores ou para confirmar transações específicas. "Essa é uma permissão muito arriscada para conceder um aplicativo", disse Sutton, observando que a Apple nem sequer concede essa permissão.
O bom é que, no momento, menos de 10% dos aplicativos atualmente solicitam permissões de SMS. Mas ainda.
Dos aplicativos para Android analisados, Zscaler descobriu que 36% pediram informações de localização e 46% pediram a permissão de estado do telefone, o que permite que os aplicativos acessem as informações do cartão SIM e o identificador IMEI exclusivo do telefone.
"É um equilíbrio delicado entre o que estamos dispostos a desistir em troca de um aplicativo gratuito", disse Sutton.
Android expõe usuários a mais riscos
O maior problema, no que dizia respeito a Sutton, era o fato de o Android não dar aos usuários controle sobre as permissões que os aplicativos poderiam ter. "Eu não sou fã do modelo tudo ou nada no Android", disse Sutton, chamando de "perigoso".
É um pouco triste, porque o Android realmente vai além do iOS, oferecendo aos desenvolvedores níveis de controle muito granulares. No entanto, esse nível de controle não é transferido para o próprio aplicativo, pois se o usuário não gostar de uma permissão específica solicitada, o usuário não poderá instalá-lo. A Apple, por outro lado, instala o aplicativo iOS e, quando uma funcionalidade específica é necessária, solicita permissão ao usuário.
"Essa é uma coisa que a Apple faz melhor", disse Sutton. Ele disse que a "abordagem superior" às permissões sob o modelo iOS faz um trabalho melhor na proteção dos consumidores.
A Apple também lutou para impedir que os desenvolvedores rastreiem dispositivos, disse Sutton. Originalmente, os desenvolvedores tinham permissão para consultar o UDID exclusivo do dispositivo, que os anunciantes poderiam usar para criar perfis e entender que tipo de aplicativos os usuários estavam usando. Embora a Apple tenha proibido o uso de UDID, Zscaler descobriu que 38% dos aplicativos iOS em sua análise ainda tinham acesso. A Apple também proibiu os desenvolvedores de rastrear endereços MAC. O UUID é a abordagem preferida, pois é um valor exclusivo gerado por aplicativo e dispositivo, impedindo que os anunciantes rastreiem os usuários nos aplicativos.
A Apple "realmente travou uma batalha para impedir que os desenvolvedores rastreiem dispositivos", disse Sutton. "O Google não fez nada nesse domínio".
