Levantamento analisa a maneira como os desenvolvedores de aplicativos usam as informações concedidas pelos usuários, colocando em risco a privacidade de seus dados

O usuário médio de smartphones atualmente tem entre 60 e 90 aplicativos em seus aparelhos. A maioria desses dispositivos pode querer saber seu nome, seu endereço de e-mail ou seu endereço residencial ou comercial. Mas, como os smartphones são muito poderosos, também podem obter um pouco mais do que isso, como a sua localização exata. Alguns aplicativos até solicitam acesso à câmera ou ao microfone do dispositivo.

Embora tudo isso seja feito com o consentimento, o usuário pode se surpreender com o nível de acesso que alguns aplicativos têm aos seus dados pessoais. Um exemplo, 45% dos aplicativos Android mais populares e 25% dos aplicativos iOS mais populares solicitam rastreamento de local. Outro dado alarmante, 46% dos aplicativos Android populares e 25% dos aplicativos iOS populares solicitam permissão para acessar a câmera do seu dispositivo. Alguns apps para Android até pedem para acessar as mensagens SMS e registros de chamadas telefônicas.

Sob o microscópio

Para descobrir que tipo de dados os aplicativos podem estar procurando, a Symantec testou os mais populares. Eles fizeram o download e analisaram os 100 principais aplicativos gratuitos listados na Google Play Store e na Apple App Store em 3 de maio de 2018. Para cada aplicativo, descobriram duas coisas importantes: quantas informações pessoais o usuário compartilhava com o aplicativo e quais recursos do smartphone o aplicativo acessava?

Nenhuma prática é inerentemente suspeita. Na maioria dos casos, as informações são compartilhadas e as permissões de dispositivos são ativadas com o consentimento do usuário. E geralmente há uma boa razão para que os aplicativos exijam os dois. Por exemplo: um aplicativo de táxi precisa acessar a localização de um usuário para informar ao motorista para onde ir, mas a pesquisa procurou saber se a plataforma não solicita informações além das necessárias. Além disso, o levantamento também avaliou se os desenvolvedores de aplicativos faziam tudo o que é possível para proteger a privacidade dos usuários.

Informações pessoais

Uma das primeiras coisas analisadas pelo time da Symantec foi a quantidade de informações de identificação pessoal ​​(PII) que os aplicativos solicitaram aos usuários. Os endereços de e-mail foram as PII mais pedidos: em 48% dos aplicativos iOS e 44% para Android analisados.

O próximo item mais comum de PII foi o nome de usuário (que geralmente é o nome completo de alguém quando ele entra em sites de redes sociais ou em aplicativos), que foi compartilhado com 33% dos apps iOS e 30% dos aplicativos para Android. Já os números de telefone foram expostos em 12% dos aplicativos iOS e 9% para Android. Por fim, o endereço do usuário foi compartilhado com 4% dos aplicativos de iOS e 5% dos aplicativos de Android.

No entanto, essas estatísticas não contabilizam totalmente a quantidade total de PII que foram compartilhadas com aplicativos. Vários apps integram-se às mídias sociais para que o usuário possa fazer login usando sua conta de mídia social e permitir que o aplicativo publique diretamente em seus perfis. Para o usuário, isso significa que ele não precisa gerenciar tantas senhas, pode convidar amigos para jogar em dispositivos móveis e compartilhar informações do aplicativo na linha do tempo deles.

Mas esse relacionamento simbiótico também permite que o app colete dados do usuário de conta em mídias sociais e vice-versa. No caso de aplicativos iOS que usam integração com redes sociais, pudemos ver quais PII estavam sendo compartilhadas. No entanto, no caso de aplicativos Android não foi possível. Isso ocorreu porque todos os aplicativos em questão usavam a interface de programação de aplicativos (API) Graph amplamente usada pelo Facebook, e a versão Android do Graph usa fixação de certificados, o que nos impedia de ver quais PII estavam sendo compartilhadas.

Portanto, quando afirma-se que os endereços de e-mail são compartilhados com 44% dos aplicativos Android, esse número pode ser maior porque alguns utilizam a Graph API do Facebook e ela também pode compartilhar um endereço de e-mail com eles.

A Graph do Facebook pode ser familiar para algumas pessoas porque foi usada pela Cambridge Analytica para compilar informações pessoais relacionadas a 87 milhões de usuários do Facebook. Esta informação foi supostamente usada em campanhas de mídia social direcionadas aos eleitores durante a campanha eleitoral presidencial dos EUA em 2016. O Facebook respondeu a esse incidente controlando significativamente sua API e restringindo a quantidade de informações pessoais que podem ser compartilhadas por meio dela.

Embora a Graph do Facebook talvez seja o serviço de integração mais conhecido, não é o mais amplamente utilizado. Entre os analisados, 47% dos aplicativos de Android e 29% dos aplicativos de iOS ofereciam o serviço de integração do Google, enquanto 41% dos aplicativos de Android e 26% dos aplicativos de iOS ofereciam o serviço da Graph API do Facebook.

Algumas permissões são mais arriscadas do que outras

Além de informações pessoais, os aplicativos também precisam de permissão para acessar vários recursos em seu dispositivo móvel. Por exemplo, se você quiser tirar uma foto usando o Instagram, o aplicativo precisará de permissão para usar a câmera do seu dispositivo.

Há uma grande quantidade de permissões que um aplicativo pode solicitar, mas nem todas são iguais. Por esse motivo, analisamos mais atentamente o que chamamos de “permissões arriscadas”, ou seja, que dão acesso a dados ou recursos que envolvam informações particulares ou que possam afetar os dados armazenados ou a operação de outros aplicativos. Exemplos de permissões arriscadas incluem acesso à localização do usuário, contatos, mensagens SMS, registros do telefone, câmera ou calendário.

O acesso à câmera foi a permissão arriscada mais comumente solicitada, com 46% dos aplicativos de Android e 25% dos aplicativos de iOS. Em segundo lugar estava o rastreamento de localização, que foi solicitado por 45% dos aplicativos de Android e 25% dos aplicativos de iOS. 25% dos aplicativos de Android solicitaram permissão para gravar áudio, enquanto 9% dos aplicativos de iOS fizeram o mesmo. Por fim, 15% dos aplicativos de Android solicitaram permissão para ler mensagens SMS e 10% pediram para acessar registros de chamadas telefônicas. Nenhuma dessas permissões está disponível no iOS.

Duas coisas devem ser enfatizadas quando se fala de permissões arriscadas. Em primeiro lugar, é necessária a permissão do usuário para acessar esses dados. E segundo, só porque nós as chamamos de permissões arriscadas, isso não significa que não devam ser concedidas. Conforme explicado anteriormente, geralmente há uma razão para isso. Elas devem ser vistas como permissões com as quais o usuário deve ter mais cuidado, perguntando a si mesmo se o aplicativo realmente precisa delas e se está à vontade para concedê-la a esse aplicativo específico. Por exemplo, você realmente quer dar a um aplicativo acesso às suas ligações e mensagens de texto simplesmente para fornecer alertas personalizados?

Curiosamente, alguns aplicativos do Android solicitaram permissões mais arriscadas do que os do iOS: sete aplicativos de Android solicitaram acesso a mensagens SMS, já suas versões para iOS não. Embora nenhuma a permissão não esteja disponível no iOS, isso levanta a questão do motivo de ser solicitada na versão do Android, enquanto a versão do iOS pode ficar sem elas.

Práticas de segurança negligentes

De maneira preocupante, um pequeno número de aplicativos examinados empregava práticas de segurança e privacidade muito precárias. 4% dos aplicativos de Android e 3% por cento dos aplicativos de iOS que solicitaram permissões arriscadas não tinham nenhuma política de privacidade. Idealmente, todos os aplicativos devem ter uma política de privacidade que defina claramente quais dados estão sendo coletados, onde estão sendo armazenados, com quem estão sendo compartilhados e assim por diante.

Enquanto isso, apenas uma minoria dos aplicativos usados ​​implementa a fixação de certificados no login: 8% dos aplicativos de Android e 11% dos aplicativos de iOS. O que é a fixação de certificado? É uma precaução de segurança que ajuda a impedir que invasores interceptem comunicações supostamente seguras. É feita garantindo que o aplicativo se comunique apenas com um servidor usando o certificado de segurança correto.

No entanto, existem opiniões divergentes sobre a fixação de certificados. Por exemplo, a Apple diz que não recomenda que os aplicativos façam suas próprias fixações de certificados, pois é uma abordagem que pode levar à fragilidade geral e a problemas em ambientes corporativos.

Enganado por políticas de privacidade

Mesmo quando os aplicativos têm políticas de privacidade, os usuários ainda podem achar difícil acompanhar o que estão consentindo. Embora cada aplicativo tenha seu próprio conjunto de permissões e políticas de privacidade, existem vários fatores que podem complicar.

Mesmo que alguns aplicativos sejam independentes, há muitos que exigem aplicativos ou links adicionais para sites de terceiros para funcionarem corretamente (por exemplo, publicidade gráfica) ou para fornecer funcionalidades adicionais, como a instalação de temas ou níveis adicionais em jogos. Alguns deles podem ser aplicativos de terceiros.

Cada aplicativo adicional pode ter sua própria política de privacidade (ou nenhuma) e o usuário não pode presumir que a política de privacidade do aplicativo de nível superior sirva para os downloads de aplicativos subsequentes.

No entanto, a maioria dos aplicativos se exime de qualquer responsabilidade pelo uso de dados por terceiros.

Resumindo, enquanto você pode ter certeza quando se trata de um único aplicativo com uma única política de privacidade, uma vez que aplicativos adicionais se conectem a ele, a imagem se torna cada vez mais complexa, especialmente quando se trata de aplicativos de terceiros.

Isso é algo para se preocupar? Um número significativo de aplicativos que solicitam permissões arriscadas está vinculado a aplicativos de terceiros. Dos aplicativos de Android que exigem permissões arriscadas, 40% têm links para aplicativos de terceiros. A funcionalidade normal do aplicativo é interrompida com anúncios ou links para aplicativos de terceiros para funcionalidade normal (por exemplo, comprar links para sites de vendedores). Enquanto isso, 16% dos aplicativos de iOS que exigem permissões arriscadas têm links para aplicativos de terceiros.

Fonte: Security Report