Milhares de aplicativos Android estão acessando silenciosamente seus dados

Eu sou o que sou

Os métodos de aplicativos instalados do Android, ou IAMs, são interfaces de programação de aplicativos que permitem que os aplicativos interajam silenciosamente com outros programas em um dispositivo. Eles usam dois métodos para recuperar vários tipos de informações relacionadas aos aplicativos instalados, nenhum dos quais é classificado pelo Google como uma API sensível. A falta dessa designação permite que os métodos sejam usados de maneira invisível para os usuários.

ARS TECHNICA

Essa história apareceu originalmente na Ars Technica, uma fonte confiável de notícias sobre tecnologia, análise de políticas técnicas, análises e muito mais. Ars é de propriedade da controladora da WIRED, Condé Nast.

Nem todos os aplicativos que coletam detalhes de outros aplicativos instalados o fazem para fins nefastos. Os desenvolvedores consultados pelos pesquisadores por trás do novo artigo disseram que a coleção é a base para aplicativos de iniciação, que permitem a personalização da tela inicial e fornecem atalhos para abrir outros aplicativos. Os IAMs também são usados por VPNs, software de backup, gerenciadores de notificações, antimalware, economia de bateria e firewalls.

Mas a captura de dados também pode ser usada por anunciantes e desenvolvedores para montar um perfil detalhado dos usuários, relataram os pesquisadores em seu artigo, intitulado "Deixe meus aplicativos em paz! Um estudo sobre como os desenvolvedores do Android acessam aplicativos instalados no dispositivo do usuário". Eles citaram estudos anteriores como este, que descobriram que um único instantâneo de aplicativos instalados em um dispositivo permitia aos pesquisadores prever o sexo do usuário com uma precisão de cerca de 70%. As descobertas subsequentes dos mesmos pesquisadores expandiram a demografia que poderia ser deduzida a características como religião, status de relacionamento, idiomas falados e países de interesse. Um estudo realizado por diferentes pesquisadores disse que os dados demográficos dos usuários também incluem idade, raça e renda. A pesquisa também descobriu que o sexo de um usuário pode ser previsto com uma taxa de precisão de 82%.

“Como outras partes sensíveis da privacidade da plataforma Android são protegidas por permissões de aplicativos, forçando os desenvolvedores a notificar explicitamente os usuários antes de tentar acessar essas partes, [it] levanta a questão de por que os IAMs são tratados de maneira diferente ", escreveram os pesquisadores da Universidade de L'Aquila, na Itália, da Universidade Vrije, em Amsterdã, e da ETH, em Zurique, no último artigo. "De fato, o Regulamento Geral de Proteção de Dados da União Européia (GDPR), geralmente considerado a vanguarda dos regulamentos de privacidade, considera" identificadores on-line fornecidos por seus dispositivos, aplicativos, ferramentas e protocolos " [...] como dados pessoais, para todos os fins e meios ".

Alterar

O novo relatório disse que o Google está considerando várias alterações no Android que já foram adicionadas a uma versão beta da versão 11 (o lançamento geral foi agendado para o terceiro trimestre, mas não está claro se esse prazo será adiado como resultado de interrupções causadas pela pandemia do COVID-19). Sob a alteração considerada, para que um aplicativo interaja com outros aplicativos, o desenvolvedor deve (1) declarar explicitamente no manifesto do aplicativo - um arquivo que descreva informações essenciais sobre o aplicativo - os aplicativos que eles desejam inspecionar ou (2) exigir uma nova permissão chamada QUERY_ALL_PACKAGES, cuja função precisa permanece incerta para alguns desenvolvedores.

A mudança, disseram os pesquisadores, ainda não trata de uma das principais deficiências dos abusos do IAM, que é a falta de aviso aos usuários de que um aplicativo requer uma permissão potencialmente invasora da privacidade. Com a alteração considerada, os aplicativos ainda não precisam divulgar sua coleção de detalhes sobre todos os outros aplicativos instalados. Os representantes do Google não responderam a um e-mail perguntando sobre alterações planejadas no Android e solicitando um comentário mais geral para este artigo.

App Spying

Os pesquisadores estudaram 14.342 aplicativos Android gratuitos na Google Play Store e 7.886 aplicativos Android de código aberto e analisaram o uso de IAMs. Os pesquisadores descobriram que 4.214 dos aplicativos do Google Play, representando pouco mais de 30% dos estudados, usavam IAMs. Apenas 228 dos aplicativos de código aberto, ou pouco menos de 3%, coletaram detalhes de outros aplicativos. Com mais de 3 milhões de aplicativos disponíveis no serviço hospedado pelo Google, o número real de aplicativos indiscretos é quase certamente uma ordem de magnitude superior aos 4.214 encontrados no estudo.