Na quinta-feira (27), a Comissão Federal de Comércio dos Estados Unidos realizou a conferência PrivacyCon. Em uma das palestras, Serge Egelman, diretor de pesquisa do Grupo de Segurança e Privacidade da Universidade da Califórnia, no Instituto Internacional de Ciência da Computação de Berkeley, apontou algumas estratégias utilizadas pelos aplicativos para rastrear informações dos usuários no Android.
Os apps costumam interagir com o Android através de camadas de software chamadas de APIs. De acordo com Egelman, mesmo que as APIs sejam protegidas pelo sistema de permissões, os apps conseguem explorar falhas na estrutura do sistema de arquivos.
Algumas possibilidades
Egelman e alguns colegas pesquisadores escreveram o artigo "50 Maneiras de Vazar Seus Dados". Nele, eles tratam de três categorias de explorações descobertas através de seus testes realizados em versões instrumentadas de Android Marshmallow e Pie.
Endereço MAC
Após averiguar minuciosamente o tráfego de rede, descobriu-se que apps criados com kits de desenvolvimento de software de terceiros, como o OpenX, leram endereços MAC de um diretório de cache do sistema. Outros apps acessam esses dados de forma mais direta, buscando-os em chamadas de sistema ou protocolos de descoberta de rede.
Obtenção do IMEI
O rastreamento persistente é ainda mais efetivo através da leitura do IMEI. As bibliotecas de publicidade das plataformas Salmonads e Baidu aguardavam que um aplicativo contendo o código recebesse permissão do usuário para ler o IMEI do aparelho. Em seguida, copiavam a informação para um arquivo no cartão de memória, disponibilizando-a para que outros aplicativos a acessassem. Os apps que conseguem o IMEI do telefone por meio dessa estratégia somam 1 bilhão de instalações.
Localização
O Shutterfly foi descoberto acessando a localização dos usuários indevidamente. Questionada, a desenvolvedora se defendeu afirmando que o app possui várias formas de saber a localização do usuário, além da permissão mais direta.
Facebook saiu ileso
Tanto o artigo de Egelman quanto outro estudo apresentado na conferência, chamado "Panopsepy: Caracterizando a Extração de Áudio e Vídeo de Aplicativos Android", livraram os apps do Facebook das acusações de estarem capturando o áudio de seus usuários em segundo plano.
Tem correção?
Infelizmente, a Google informou que as vulnerabilidades só serão corrigidas no Android Q. As versões anteriores do sistema seguirão expostas aos softwares espiões, o que continuará representando a grande maioria dos usuários durante vários meses.