in

Aplicativos Android rastreiam usuários sem permissão

Correção do problema deve vir nas próximas versões do Android

Aplicativos Android rastreiam usuários sem permissão

Se você não dá permissões de rastreamento aos aplicativos instalados em seu telefone com Android, há motivo para preocupações. É que pesquisadores do Instituto Internacional de Ciência da Computação (ICSI) detalham em um novo artigo que 1.325 aplicativos Android espionam usuários. Além disso, alguns estão instalados em 500 milhões de telefones. Eles usam truques sorrateiros, porém fáceis de contornar restrições no modelo de permissões do Android. Assim, aplicativos Android rastreiam usuários sem permissão.

O modelo de permissões destina-se a fazer com que os usuários neguem a um aplicativo o acesso a informações. É o caso de dados de localização ou identificadores de dispositivo exclusivos.

Como descobriram que aplicativos Android rastreiam usuários sem permissão

Os pesquisadores escanearam mais de 88.000 aplicativos em busca de sinais que isso ocorreria. Então, descobriram que os aplicativos usam canais secundários para obter informações. Assim, permitem que fabricantes de software e anunciantes rastreassem usuários em dispositivos. Do mesmo modo, sites e aplicativos. 

Esse acompanhamento pode incluir o acesso ao armazenamento compartilhado em um cartão SD para obter informações, como o número IMEI de um dispositivo, que não deve estar acessível se o aplicativo obedecer a uma negação na permissão READ_PHONE-STATE.

O IMEI é útil para fins de rastreamento. Então, ao contrário do ID do anunciante, não pode ser redefinido ou alterado.

Os pesquisadores descobriram um SDK de uma firma de publicidade chinesa chamada Salmonads. Eles desenvolveram um arquivo para armazenamento compartilhado contendo o IMEI do dispositivo. Além disso, davam essa informação a todos os outros aplicativos que também incorporam o acesso do SDK.

Baidu, é você?

Aplicativos Android rastreiam usuários sem permissão

A mesma técnica foi usada por um SDK do gigante de buscas chinês Baidu. Oito aplicativos populares encontrados enviando o IMEI de dispositivos para um servidor Baidu.

Entre eles, os aplicativos da Disney em Hong Kong e Xangai, o aplicativo Saúde da Samsung e o navegador da Samsung. Alguns aplicativos adquirem legitimamente o IMEI, porém outros adquirem as informações do SDK sem a permissão do usuário.

Fundamentalmente, os consumidores têm muito poucas ferramentas e dicas que podem usar para controlar razoavelmente sua privacidade e tomar decisões sobre isso, disse Serge Egelman, um dos autores do artigo, ao site CNET. Se os desenvolvedores de aplicativos podem apenas contornar o sistema, pedir permissão aos consumidores é relativamente sem sentido.

Apps conseguem identificar o MAC do roteador

Os pesquisadores também encontraram aplicativos que adquirem o endereço MAC do roteador sem permissão. Assim, permitindo que os desenvolvedores liguem vários dispositivos que compartilham a mesma rede. Isso é feito abrindo o /proc/net/arp e lendo o cache do ARP, fornecendo informações de localização geográfica baseadas no roteador.   

Egelman informou o Google e a FTC sobre esses problemas em setembro e o Google diz que eles são abordados no Android Q. Contudo, o sistema ainda será lançado este ano.

Os dispositivos que acompanham ou são atualizados para o Android Q oferecerão aos usuários controles melhores para evitar algumas das técnicas detalhadas pelos pesquisadores.

Os desenvolvedores precisarão solicitar uma permissão especial antes de poderem acessar o IMEI do dispositivo e o número de série. O Android Q também transmitirá agora um endereço MAC aleatório para todas as comunicações.

Via

Escrito por Claylson Martins

Jornalista com pós graduações em Economia, Jornalismo Digital e Radiodifusão.

Mozilla anuncia proteção contra ataque de injeção de código no Firefox

Mozilla Firefox 68 já está disponível para download no Linux, Mac e Windows

Richard Stallman critica a Microsoft e pede liberação do código fonte do Windows

Microsoft é admitida na lista privada de segurança para desenvolvedores Linux