Vídeo: Você faz isso no celular e FAZ ERRADO! É bom fechar aplicativos (apps) Android e IOS! (Outubro 2024)
No final de janeiro, documentos vazados revelaram que a NSA e outras organizações nacionais de espionagem têm trabalhado duro para obter informações do seu smartphone. Mas, em vez de instalar um bug, eles apenas acessaram os aplicativos que já estão no seu telefone para aprender tudo o que eles querem saber.
Um pássaro irritado me disse
Segundo relatos, as organizações de espionagem estão procurando os chamados "aplicativos com vazamento" para coletar informações. É um termo que usamos com frequência em nossas histórias da Mobile Threat Monday, que o pesquisador principal de segurança da Lookout, Marc Rogers, define como "Qualquer aplicativo que transmita qualquer tipo de informação confidencial sem criptografia".
Você pode se surpreender com o fato de esta definição abranger muitos aplicativos disponíveis nas lojas de aplicativos Android e iOS. Isso ocorre porque muitos desses aplicativos usam plataformas de publicidade de terceiros para ajudar a monetizar seus aplicativos. Às vezes, você pode ver os anúncios diretamente no aplicativo, como no Flappy Bird. O desenvolvedor recebe um corte e você ganha um jogo de graça.
Mas mesmo quando você não vê nenhum anúncio, os desenvolvedores de aplicativos geralmente incluem código de anunciantes que coletam silenciosamente informações sobre você e seu dispositivo. Essas informações são compiladas e dissecadas pelos anunciantes para ajudar a segmentar melhor seus anúncios. "Quanto mais informações houver sobre alguém, mais preciso será o seu perfil de marketing", explicou o especialista sênior em ameaças eletrônicas da Bitdefender, Bogdan Botezatu.
"Para os anunciantes", explicou Rogers, da Lookout, "há ouro em prever o que vestir que envolverá os usuários". Podem ser produtos e serviços mais próximos do seu interesse ou disponíveis na sua área. Se você morasse em Osaka, por exemplo, provavelmente não estaria interessado em aprender sobre carros baratos em Chicago.
Anunciantes e profissionais de marketing geralmente buscam informações identificáveis - ou seja, uma maneira de conectar seu dispositivo a você. O número EMEI, o ID da Apple ou outro identificador de um dispositivo serve, mas os e-mails e números de telefone são particularmente valorizados. Com essas informações, os anunciantes podem determinar que a mesma pessoa baixou aplicativos diferentes e recolher como eles são usados em dispositivos diferentes. Outros anunciantes são mais agressivos, tentam obter suas informações de localização geográfica e muito mais.
Para dar um exemplo de como as informações do SDK do anunciante podem ser abrangentes, Botezatu as comparou com o Trojan de acesso remoto do Android, criado pelo Bitdefender. Uma vez instalado no telefone da vítima, ele dá controle total ao invasor, permitindo que ele roube contatos, acesse o histórico do navegador e rastreie a vítima. "A maioria das pessoas responde negativamente ao AndroRAT quando eu mostro que posso ligar o microfone", disse ele. "Fora isso, é o que acontece com a maioria dos SDKs de publicidade".
Não está totalmente claro para que a NSA está usando informações de aplicativos interceptados, mas é provavelmente semelhante aos anunciantes: criando perfis detalhados sobre indivíduos a partir de informações diferentes. Obviamente, poderia ser usado de outras maneiras. Botezatu imagina um cenário em que manifestantes protestavam nas ruas contra um governo opressivo. Se esse governo imaginário tivesse acesso irrestrito às informações de localização coletadas pelos anunciantes, eles poderiam determinar quem estava no motim e atacar eles ou suas famílias para retaliação.
Tubos com vazamento
Como Rogers disse, um aplicativo só está com vazamento se tentar enviar informações sem criptografia. Infelizmente, muitos deles optaram por não criptografar as informações que fluem dos aplicativos do telefone e dos servidores do anunciante. "Quem está ouvindo no roteador ou na rede pode bisbilhotar os dados do aplicativo e fazer uma cópia", disse Botezatu.
Enquanto vimos casos de agências de espionagem bisbilhotando em roteadores e redes Wi-Fi, Rogers diz que esse é um problema maior. "As organizações governamentais estão em posição de alavancar a infraestrutura de uma maneira que ninguém mais pode. Um bandido pode obter uma porção de dados, mas os governos podem se espalhar por toda a Internet".
Enviar resmas de dados para anunciantes nem sempre é melhor do que interceptá-los pela NSA. Botezatu apontou que, uma vez que os dados saem do seu dispositivo, você não tem controle sobre ele. "Esses anunciantes podem estar em um local onde não há legislação protegendo seus dados e ninguém pode garantir que as informações nesses servidores sejam protegidas ou inacessíveis para hackers".
Quem é o culpado
Em muitos casos, o desenvolvedor do aplicativo pode nem estar ciente de quais informações estão sendo sugadas pelos anunciantes. Ou se essa informação estiver criptografada.
Rogers diz que grande parte do problema é um equívoco do setor sobre o que torna os dados sensíveis. Alguns aplicativos, ele explicou, apenas recebem um pouco de informação - como uma preferência sexual em um aplicativo de namoro ou parte de um CEP em outro aplicativo - sem preocupação. Os anunciantes não veem essas informações como confidenciais porque, por si só, não informam muito. Mas agora organizações como a NSA podem interceptar dados de centenas de aplicativos ao mesmo tempo e conectar os pontos. "As organizações governamentais podem correlacionar tudo isso e criar um perfil completo", afirmou Rogers.
Também há problemas com os kits de desenvolvimento de software usados pelos anunciantes para coletar essas informações. Botezatu explicou que, embora existam milhões de aplicativos em todos os mercados móveis, o número de SDKs de publicidade é muito pequeno. "Existem cerca de 100 alimentando todos os aplicativos no Google Play", explicou ele. "Se você comprometer um, comprometerá uma gama completa de aplicativos e alcançará muitos mais clientes".
Os clientes (você e eu) também participam disso porque, na verdade, somos avisados por nossos telefones de que essas informações estão sendo coletadas. Ao baixar um aplicativo do Google Play, por exemplo, você concorda em conceder ao aplicativo acesso a uma série de permissões. Essas são as informações que o aplicativo pode acessar e as ações que ele pode executar. "Se o Angry Birds estiver usando sua localização, você pode assumir que ela está sendo usada para publicidade de alguma forma", disse Rogers.
Como permanecer seguro
Para pessoas como nós, as opções para limitar quem vê nossas informações são poucas. No iPhone, você pode forçar os anunciantes a acessar um "ID de publicidade" que você pode atualizar a qualquer momento - limitando a capacidade de construção de um perfil. O iOS também permite fornecer permissões granulares às informações. Você pode permitir o acesso ao seu local e depois desativá-lo mais tarde no menu Configurações.
Infelizmente, o Android ficou para trás com permissões granulares. Embora o Google tenha apresentado brevemente um painel de controle para permitir a ativação e desativação de permissões, ele foi removido rapidamente. Isso significa que muitos usuários precisam escolher entre segurança e jogar com o aplicativo mais recente. "Quando vejo um aplicativo que tenta coletar mais dados do que o necessário, busco outro aplicativo com funcionalidades semelhantes", disse Botezatu.
Os usuários também podem instalar um software de segurança que pode ajudar a monitorar as permissões do aplicativo. Lookout diz que seu aplicativo de segurança começará a destacar essas informações, e o aplicativo Clueful da Bitdefender pode ajudá-lo a decidir se um aplicativo está pedindo demais.
Rogers admite que "o usuário está muito distante do que um desenvolvedor de aplicativos concorda em fazer com seus anunciantes". No entanto, ele recomendou que os usuários exijam que os desenvolvedores de aplicativos forneçam documentação como políticas de privacidade e divulgação.
Infelizmente, o ônus é dos desenvolvedores e anunciantes começarem a tratar todas as informações do usuário como confidenciais e criptografá-las desde o momento em que sai do telefone até quando está nos servidores. Enquanto isso, os consumidores precisam tomar decisões inteligentes sobre os aplicativos que instalam e responsabilizar ativamente os desenvolvedores. "Ouvimos todos os dias que coisas novas estão sendo espionadas, mas pelo menos nesse caso existe um remédio fácil", disse Rogers.
