{"id":10272,"date":"2018-05-07T18:29:29","date_gmt":"2018-05-07T21:29:29","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=10272"},"modified":"2019-11-22T07:20:28","modified_gmt":"2019-11-22T10:20:28","slug":"leaking-ads","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/leaking-ads\/10272\/","title":{"rendered":"Aplicativos populares vazam dados pessoais"},"content":{"rendered":"

Alertamos repetidamente<\/a> nossos leitores sobre qu\u00e3o perigosos<\/a> podem ser os programas de origem desconhecida. Por\u00e9m, a maioria das pessoas parece n\u00e3o hesitar na hora de confiar em aplicativos de fontes e desenvolvedores confi\u00e1veis: avalia\u00e7\u00f5es positivas, milh\u00f5es de downloads, e distribui\u00e7\u00e3o em lojas oficiais como a Google Play s\u00e3o vistos como um distintivo de seguran\u00e7a. Contudo, n\u00e3o h\u00e1 garantias.
\nEste artigo n\u00e3o fala de Trojans, mas sobre aplicativos genu\u00ednos que, ainda assim, podem vazar seus dados online. Nossos especialistas analisaram um total de 13 milh\u00f5es de APKs<\/a> (arquivos de pacote para Android) e descobriram que aproximadamente um quarto deles transmite dados sem criptografia na internet. Alguns desses aplicativos t\u00eam centenas de milh\u00f5es de downloads, \u00e0s vezes mais de meio bilh\u00e3o! N\u00e3o d\u00e1 para chamar algo assim de \u201cprobleminha\u201d.<\/p>\n

Por vezes, informa\u00e7\u00f5es s\u00e3o expostas online em fun\u00e7\u00e3o de algum erro do desenvolvedor \u2013 todavia n\u00e3o \u00e9 isso que acontece na grande parte dos casos. Quando solicitados para o envio de dados de usu\u00e1rios para um servidor, a maioria dos apps vai usar um protocolo HTTPS seguro, que impede a intercepta\u00e7\u00e3o. O problema est\u00e1 nos servi\u00e7os de terceiros que os desenvolvedores incorporam sem verifica\u00e7\u00e3o de antecedentes. Por exemplo, alguns anal\u00edticos ou de publicidade conduzem informa\u00e7\u00f5es pela internet por meio do protocolo HTTP padr\u00e3o, que n\u00e3o \u00e9 seguro.<\/p>\n

Que informa\u00e7\u00f5es podem ser afetadas?<\/strong><\/h3>\n

A maior parte dos vazamentos de dados que detectamos tinha a ver com o modelo do dispositivo, suas especifica\u00e7\u00f5es t\u00e9cnicas, dados relacionados \u00e0 rede ou aos provedores de internet, e o nome do APK (pelo qual o sistema reconhece o pacote); muitos servi\u00e7os tamb\u00e9m revelaram as coordenadas do smartphone ou tablet.<\/p>\n

Em alguns casos, informa\u00e7\u00f5es sobre o uso dos aplicativos foram transmitidas pelo HTTP por um servi\u00e7o terceirizado integrado. Dentre esses dados estavam curtidas, publica\u00e7\u00f5es, p\u00e1ginas visitadas, al\u00e9m de detalhes sobre o dono do aparelho \u2013 nome, telefone, data de nascimento. Descobriu-se que as chaves \u00fanicas criadas para cada pedido de autoriza\u00e7\u00e3o tamb\u00e9m eram transferidas de forma insegura. Felizmente, a maioria dos servi\u00e7os n\u00e3o repassa logins e senhas sem criptografia, apesar de alguns o terem feito.<\/p>\n

Um em cada quatro aplicativos m\u00f3veis transmite dados pessoais por meio de canais desprotegidos<\/p>Tweet<\/a><\/blockquote>\n

O que h\u00e1 de perigoso nisso?<\/strong><\/h3>\n

Informa\u00e7\u00f5es transmitidas por HTTP s\u00e3o enviadas como um texto simples, e podem ser lidas por qualquer pessoa \u2013 inclusive seu provedor de internet, por exemplo. Al\u00e9m disso, o caminho entre o aplicativo e o servidor da outra parte provavelmente tem v\u00e1rios \u201cpontos de tr\u00e2nsito\u201d, na forma de dispositivos que recebem e armazenam informa\u00e7\u00e3o por um determinado per\u00edodo de tempo.<\/p>\n

Qualquer equipamento de rede, o que inclui seu roteador dom\u00e9stico, pode ser vulner\u00e1vel. Se hackeado, vai permitir que criminosos tenham acesso as suas informa\u00e7\u00f5es \u2013 o provedor de internet, por outro lado, n\u00e3o precisa hackear nada para isso. E a obten\u00e7\u00e3o de qualquer informa\u00e7\u00e3o sobre o dispositivo (especificamente c\u00f3digos IMEI e IMSI) \u00e9 o suficiente para monitorar suas a\u00e7\u00f5es futuras. Quanto mais completa a informa\u00e7\u00e3o, mais voc\u00ea se torna um livro aberto para os outros \u2013 de anunciantes at\u00e9 amigos falsos que oferecem arquivos maliciosos para download.<\/p>\n

Entretanto, os vazamentos de dispositivos e dados s\u00e3o apenas parte do problema; informa\u00e7\u00f5es sem criptografia tamb\u00e9m podem ser substitu\u00eddas. Por exemplo, em resposta a um pedido de HTTP de um aplicativo, o servidor pode enviar um an\u00fancio em v\u00eddeo, que os cibercriminosos podem interceptar e substituir por uma vers\u00e3o menos inofensiva. Ou ent\u00e3o podem simplesmente mudar o link dentro de um an\u00fancio \u2013 e ao inv\u00e9s de baixar um jogo bonitinho ou um aplicativo para fins corporativos, os usu\u00e1rios correm o risco de fazer o download de algo muito mais nefasto.
\n<\/p>\n

O que voc\u00ea pode fazer?<\/strong><\/h3>\n

Essas quest\u00f5es devem realmente ser solucionadas pelos desenvolvedores de aplicativos. Mas n\u00e3o se pode confiar completamente que ir\u00e3o resolver, assim, temos algumas dicas simples que podem proteg\u00ea-lo melhor.<\/p>\n