A fama de produtos chinesas nunca foi das melhores do lado ocidental do planeta. Para justificar esta desconfiança, agora uma empresa alega que dois aplicativos Android pertencentes à gigante chinesa da tecnologia Baidu foram removidos da Google Play Store oficial no final de outubro. Esses aplicativos Android do Baidu coletam dados confidenciais do usuário, segundo a denúncia apresentada.
Os dois aplicativos – Baidu Maps e Baidu Search Box – foram removidos depois que o Google recebeu um relatório da firma de segurança cibernética dos Estados Unidos Palo Alto Networks. Ambos os aplicativos tiveram mais de 6 milhões de downloads combinados antes de serem removidos.
De acordo com a empresa de segurança dos Estados Unidos, os dois aplicativos continham códigos que coletavam informações sobre o modelo do telefone de cada usuário, endereço MAC, informações da operadora e número IMSI (International Mobile Subscriber Identity).
O código de coleta de dados foi encontrado no Baidu Push SDK, usado para mostrar notificações em tempo real dentro de ambos os aplicativos.
Aplicativos Android do Baidu coletam dados confidenciais do usuário
Os pesquisadores de segurança da Palo Alto Networks Stefan Achleitner e Chengcheng Xu, que identificaram o código de coleta de dados, disseram que embora algumas das informações coletadas sejam “bastante inofensivas”, alguns dados como o código IMSI “podem ser usados para identificar e rastrear exclusivamente um usuário, mesmo que o usuário mude para um telefone diferente.”
A equipe de pesquisa disse que, embora a coleta de detalhes pessoais do usuário não seja especificamente proibida pela política do Google para aplicativos Android depois que eles relataram o problema ao Google, a equipe de segurança da Play Store confirmou suas descobertas e “identificou violações [adicionais] não especificadas” nos dois Aplicativos do Baidu. Isso provocou a remoção da loja oficial em 28 de outubro.
Baidu, o retorno
O aplicativo Baidu Search Box foi restaurado na Play Store. No entanto, a Palo Alto Networks disse que os desenvolvedores do Baidu removeram o código de coleta de dados.
Contudo, além do Baidu Push SDK, a equipe da Palo Alto Networks disse que também identificou um código de coleta de dados semelhante no ShareSDK desenvolvido pela gigante chinesa de tecnologia de publicidade MobTech.
Usado por mais de 37.500 aplicativos, Achleitner e Xu afirmam que este SDK também permite aos desenvolvedores de aplicativos coletar dados como informações do modelo do telefone, resolução de tela, endereços MAC, Android ID, Advertising ID, informações da operadora e IMSI (International Mobile Subscriber Identity) e Códigos IMEI (International Mobile Equipment Identity).
“A análise do malware Android mostra que SDKs, como o Baidu Push SDK ou ShareSDK, são frequentemente usados por aplicativos maliciosos para extrair e transmitir dados do dispositivo”, disseram Achleitner e Xu. Eles sugerem que embora os SDKs possam ter sido desenvolvidos para fins legítimos, como enviar notificações e compartilhar conteúdo nas redes sociais, eles costumam ser abusados pelos desenvolvedores de aplicativos maliciosos.
Resumindo, esse é um problema comum não apenas para o ecossistema Android, mas para todo o mundo dos aplicativos on-line. Assim, são muitos aplicativos coletando detalhes confidenciais do usuário sem restrições, na ausência de legislação que proíba especificamente essas práticas.