Os malwares de Android pedem permissão para entrar, você vai deixar?

Toda vez que você instala um aplicativo, você aceita algumas permissões. Mas o que você realmente está aceitando? Eles são perigosos para sua segurança e privacidade?

Para usar a câmera, a internet e outros recursos do seu celular, os aplicativos pedem permissões do Android. Os aplicativos são instalados somente se você concorda e só pode aceitar ou rejeitar em bloco (um sistema de tudo ou nada). O problema é quando as permissões são combinadas: rever tudo é desgastante, e então, no final acabamos aceitando sem olhar.

Quadro de permissões requisitadas por aplicativos

Aceitar todas as permissões podem ter consequências desagradáveis​​, como o envio de SMS ou o roubo de dados pessoais, algo que já aconteceu. Verificar as permissões leva menos de um minuto, um minuto que pode poupar grande desconforto depois (como ter que mudar todas as suas senhas).

Veja abaixo as permissões atuais que os aplicativos solicitam antes da instalação e vamos explicar quais poderiam ser os perigos associados e o que você pode fazer para evitar problemas.

Compras integradas: cuidado com extorsão e fraude

Sob este título, aparentemente tão claro, o Android permite que os aplicativos iniciem as compras sem ser no Google Play. Em um jogo como Candy Crush, por exemplo, você pode comprar itens para ajudá-lo a passar de níveis, mas existem também aplicativos que usam este sistema para extorquir dinheiro sob as mais variadas promessas.

O malware Fakedefender, por exemplo, era um falso antivírus que mostrava alertas de segurança e prometia limpar o celular depois de você transferir dinheiro. Outro caso é quando um jogo que parece ser completo apresenta compras do app: se o aplicativo está sendo usado por uma criança, será muito fácil realizar a compra.

Android Defender extorquia dinheiro de pessoas inocentes

Android Defender, o antivírus falso que extorquia através de compras integradas

Para evitar problemas relacionados com compras integradas, ative a proteção por senha no Google Play. Assim, você evitará a maioria de compras por impulso. E acima de tudo: não se deixará enganar por falsas promessas.

Dados móveis / WiFi: a porta de saída para o roubo de dados

Ambas as seções são relativamente inofensivas em si, já que gerenciam a conectividade dos aplicativos. Qualquer app que necessite se conectar à Internet vai solicitá-los. Essas permissões podem tornar-se perigosas quando combinadas com outras, já que elas dão luz verde para um aplicativo enviar os dados para o exterior.

A dupla “ler os contatos” e “dados móveis”, por exemplo, deveria preocupar. Por que uma agenda, sem serviços de Internet tem necessidade de se conectar? Talvez para a publicidade, mas você deve ter certeza de que isso é verdade. Em caso de dúvida, você pode optar por bloquear a conexão com o firewall (que também é eficaz para desativar a publicidade em alguns jogos).

Histórico de aplicativos e dispositivos: é aí onde o histórico e os favoritos estão

Este grupo de permissões permite ler os dados do telefone e os sites que você navegou, seus favoritos e os aplicativos que estão em execução. Um navegador da Web, um gerenciador de apps ou uma rede social precisam acessar sua lista de aplicativos e favoritos para consultá-los ou modificá-los, mas não é assim com os jogos, por exemplo.

Google Chrome pede permissão para acessar seu histórico

É normal que o navegador Chrome peça para acessar o histórico e os favoritos

Os riscos para a sua privacidade são óbvios: este é o tipo de dados que a NSA ou qualquer outra pessoa que pretende espionar seus hábitos de navegação adoraria.  Por outro lado, se um aplicativo não controla sua memória, não faz sentido acessar a lista de aplicativos que estão sendo executados. Pergunte-se se a petição feita pelo app é sensata.

Identidade e contas: as contas disponíveis para qualquer aplicativo

As permissões de identidade permitem que um aplicativo acesse seus dados pessoais, tais como as contas que você tem no seu telefone. Isso faz sentido em aplicativos sociais, como o Facebook ou o Twitter, mas não faz nenhum quando a sua identidade não tem nada a ver com o principal objetivo do aplicativo. Além disso, um vírus que explore essa permissão poderia, em teoria, apagar suas contas.

Contatos / Calendário: cuidado com quem você compartilha a agenda

O maior perigo destas autorizações é consultar a sua agenda de endereços e o calendário de eventos. Um aplicativo malicioso pode roubar números de telefone, emails e excluir eventos do calendário sem permissão (e até mesmo convidar as pessoas).

O vírus FireLeaker, por exemplo, roubava números de telefone e e-mails e enviava tudo para um servidor controlado por criminosos, que então vendiam esses dados para empresas que enviavam spam via e-mails ou mensagens SMS

Localização: esse jogo precisa mesmo saber onde você está agora?

Este conjunto de permissões dá acesso aos sensores de localização, como o GPS. Útil para mapas, guias e aplicativos que adicionam dados de localização para suas fotos e publicações. Mas se você achar que essa permissão não faz sentido para algum aplicativo, comece a suspeitar.

Além de gastar bateria, a coleta de dados de localização põe em perigo a sua privacidade. O malware TigerBot, descoberto em 2012, enviava a localização GPS do celular, juntamente com outros dados, tais como gravações de chamadas e imagens.

SMS: cuidado com o envio de mensagens curtas e custosas

Se você ver essas permissões, pergunte-se por que um aplicativo quer receber, ler ou enviar mensagens de texto. Alguns recebem SMS para confirmar a sua inscrição para um serviço, mas às vezes o envio de mensagens de texto é um engano lucrativo.

Em 2014, o Panda Labs descobriu que um aplicativo para dieta, que tinha sido baixado por 300 mil pessoas, registrava os usuários em um plano de pagamento SMS caro por um engano simples e eficaz.

Telefone: quando um aplicativo pode discar e ligar no seu lugar

Estas autorizações são destinadas a permitir que os aplicativos possam gerenciar ou iniciar chamadas. Os aplicativos de mensagens como WhatsApp e LINE, ou os bloqueadores de chamadas e as secretárias eletrônicas usam essas permissões.

Mas em aplicativos onde o uso do telefone é inútil, as autorizações podem indicar que algumas chamadas tenham um custo escondido. O malware MouaBad, descoberto em 2013 pela Lookout, permitiu que os hackers fizessem chamadas muito caras sem que o proprietário percebesse.

O malware MouaBad.P fazia ligações custosas sem o dono perceber
MouaBad.P, malware que podia ligar remotamente para números especiais

Fotos, dados e arquivos: e se conseguem ler o que você guarda?

Se um aplicativo precisa armazenar arquivos, terá que pedir permissão para modificar ou remover conteúdo. É difícil saber quando essa autorização será usada para fins maliciosos, como roubar ou apagar dados.

Alguns vírus podem tomar o controle do telefone e enviar fotos e outros arquivos através da rede. O aplicativo Pixer, que ainda pode ser baixado do Google Play, enganou os usuários para que aceitassem as licenças e, em seguida, fizessem o upload de fotos para seus servidores.

Câmera / Microfone: permissões que o 007 teria gostado

Quando você permite que um aplicativo dê acesso à sua câmera e microfone, esse poderá tirar fotos e vídeos, bem como gravar sons. Faz todo o sentido do mundo em aplicativos como o Instagram, Skype ou Facebook. Em outros casos, é preciso estar atento.

Placeraider consegue tirar fotos e reconstruir um ambiente

PlaceRaider, um aplicativo que pode tirar fotos de forma aleatória e reconstruir salas inteiras…

O app PlaceRaider é um exemplo do perigo ao aceitar as permissões com boa fé: criado por uma equipe de pesquisadores dos Estados Unidos, é um programa capaz de tirar fotos sem permissão e de reconstruir quartos. Um espião que você mesmo aceita.

ID do dispositivo e dados de chamada: o RG do seu telefone

Sob este nome misterioso, o Android permite que os aplicativos conheçam o seu telefone. Isso inclui a obtenção de dados como o número de IMEI, que é como o RG do celular. Consegui-lo é muito trivial.

IMEI armazena as principais informações do celular
Um exemplo de dados que podem ser extraídos com as permissões do ID do dispositivo

Com um IMEI válido, alguém pode clonar o seu telefone e fazer chamadas; e a conta vai chegar até você. Também poderia bloquear seu número caso informe ao operador que o telefone foi roubado. O vírus BadNews é um exemplo deste tipo de malware.

Outros: uma mescla das mais perigosas

Além das permissões típicas de Android, um aplicativo pode solicitar outras permissões exclusivas. É muito importante que você reveja esta lista sempre. Entre outras autorizações, há algumas particularmente sensíveis, como a leitura de mensagens em suas redes sociais, ter acesso total à rede ou controlar partes do dispositivo. Não há limites: em Outros pode se esconder alguma permissão que impede a segurança de seus dados.

A regra de ouro: pesquise e use os analisadores de autorizações

Se você acha que uma autorização não faz sentido, pergunte aos autores: você pode enviar um e-mail no Google Play ou escrever um comentário e esperar que a resposta deles. Os comentários de outras pessoas (e a pontuação do aplicativo) são outro fator importante para saber se um aplicativo é seguro e confiável. Não instale nada que seja suspeito, sem estar previamente informado.

E os aplicativos que já estão instalados? Há utilitários dedicados exclusivamente para rever as autorizações de todos os aplicativos instalados no seu telefone ou tablet. Um exemplo notável é o F-Secure App Permissions, que verifica todas as permissões usadas por seus aplicativos e lhe indica os casos mais suspeitos para você decidir o que fazer com cada aplicativo.

F-Secure App Permissions analisa permissões requisitadas por aplicativos
F-Secure App Permissions dá uma pontuação para cada aplicativo conforme as permissões solicitadas

Depois de toda essa exposição pode parecer que as permissões apenas servem para o mal. Não é verdade: elas são essenciais para o bom funcionamento de muitos aplicativos legítimos. A maneira em que o Android lida com as autorizações, no entanto, não é satisfatória, uma vez que leva a equívocos perigosos. E é muito fácil passar por cima de uma autorização inadequada.

Para estar seguro, siga as nossas dicas para a instalação de aplicativos com segurança

[Artigo original em espanhol]

[Fonte das imagens: Google Play, Tudocelular, MIT, CodePainters, TheDroidGuy]

Carregando comentários