{"id":16403,"date":"2020-11-10T18:59:35","date_gmt":"2020-11-10T21:59:35","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=16403"},"modified":"2020-11-10T19:13:00","modified_gmt":"2020-11-10T22:13:00","slug":"location-tracking-sdks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/location-tracking-sdks\/16403\/","title":{"rendered":"Aplicativos m\u00f3veis est\u00e3o vigiando voc\u00ea"},"content":{"rendered":"

Alguns aplicativos m\u00f3veis rastreiam sua localiza\u00e7\u00e3o \u2014 e a informam secretamente a servi\u00e7os que vendem seus dados. \u00c9 quase certo que voc\u00ea use pelo menos um desses aplicativos sem nem mesmo saber. Como voc\u00ea descobre quais aplicativos podem ser problem\u00e1ticos \u2014 e o que voc\u00ea pode fazer a respeito?<\/p>\n

Quais aplicativos m\u00f3veis est\u00e3o rastreando voc\u00ea?<\/h2>\n

Ao visualizar<\/a> o fluxo de spring breakers (turistas de f\u00e9rias da primavera) em apenas uma praia na Fl\u00f3rida se espalhando por todos os EUA durante a pandemia COVID-19, o diretor do Kaspersky GReAT, Costin Raiu, n\u00e3o pensou no coronav\u00edrus, mas sim em aplicativos que rastreiam a localiza\u00e7\u00e3o de seus usu\u00e1rios. O relat\u00f3rio usou uma pesquisa, incluindo dados de localiza\u00e7\u00e3o do X-Mode. Mas de onde o X-Mode conseguiu os dados?<\/p>\n

Bem, o X-Mode distribui um SDK \u2014 um componente que os desenvolvedores podem incorporar em seus aplicativos \u2014 e, dependendo do n\u00famero de usu\u00e1rios regulares do aplicativo, chega a pagar aos desenvolvedores mensalmente para inclu\u00ed-lo. Em troca, o SDK coleta dados de localiza\u00e7\u00e3o, bem como alguns dados dos sensores do smartphone, como o girosc\u00f3pio, e os envia aos servidores X-Mode. Mais tarde, o X-Mode vende os dados supostamente an\u00f4nimos para quem quiser compr\u00e1-los.<\/p>\n

O X-Mode afirma que o SDK n\u00e3o tem um grande impacto na vida \u00fatil da bateria, usando apenas cerca de 1% a 3% da carga, ent\u00e3o os usu\u00e1rios basicamente nem perceber\u00e3o o SDK e n\u00e3o ser\u00e3o incomodados por ele. O X-Mode tamb\u00e9m afirma que a coleta de dados dessa maneira \u00e9 \u201cdefinitivamente legal\u201d e que o SDK \u00e9 totalmente compat\u00edvel com GDPR (Regulamento Geral sobre a Prote\u00e7\u00e3o de Dados).<\/p>\n\n

Quantos desses aplicativos de rastreamento existem?<\/h2>\n

Raiu se perguntou: estou<\/em>\u00a0sendo rastreado dessa forma? A maneira mais f\u00e1cil de descobrir era identificar os endere\u00e7os dos servidores de comando e controle<\/a> usados pelos SDKs de rastreamento \u2013 e monitorar o tr\u00e1fego de rede de sa\u00edda de seu dispositivo. Se um aplicativo em seu smartphone estivesse se comunicando com pelo menos um desses servidores, isso significaria que ele estava de fato sendo rastreado. Para completar a tarefa, Raiu precisava descobrir os endere\u00e7os do servidor. Sua pesquisa se tornou a base para sua palestra na confer\u00eancia SAS@home<\/a> deste ano.<\/p>\n

Depois de alguma engenharia reversa, algumas suposi\u00e7\u00f5es, alguma descriptografia e algumas vasculhadas, ele os encontrou \u2013 e escreveu um trecho de c\u00f3digo que o ajudou a detectar se um aplicativo estava tentando acess\u00e1-los. Basicamente, ele descobriu, se um aplicativo tem uma determinada linha de c\u00f3digo, ele usa o SDK de rastreamento.<\/p>\n

Raiu encontrou mais de 240 aplicativos distintos com o SDK integrado. No total, esses aplicativos foram instalados mais de 500 milh\u00f5es de vezes. Se partirmos com uma suposi\u00e7\u00e3o bastante aproximada de que o usu\u00e1rio m\u00e9dio instalou tal aplicativo apenas uma vez, isso significaria que cerca de 1 em cada 16 pessoas em todo o mundo tem tal aplicativo de rastreamento instalado em seus dispositivos. Isso \u00e9 muito. Sua chance de ser um deles \u00e9, bem, 1\/16.<\/p>\n

A X-Mode \u00e9 apenas uma das dezenas de empresas neste setor.<\/p>\n

Al\u00e9m disso, qualquer aplicativo pode conter mais de um SDK. Por exemplo, enquanto Raiu estava examinando um aplicativo que inclu\u00eda o SDK do X-Mode em quest\u00e3o, ele descobriu cinco outros componentes de outras empresas que tamb\u00e9m estavam coletando dados de localiza\u00e7\u00e3o. Obviamente, o desenvolvedor estava tentando tirar o m\u00e1ximo de dinheiro poss\u00edvel do aplicativo \u2013 e nem era gratuito. Pagar por um aplicativo n\u00e3o significa, infelizmente, que seus criadores n\u00e3o estejam tentando obter mais<\/em>\u00a0dinheiro com o neg\u00f3cio.<\/p>\n

O que voc\u00ea pode fazer para evitar o rastreamento?<\/h2>\n

O problema com esses SDKs de rastreamento \u00e9 que, ao fazer o download de um aplicativo, voc\u00ea simplesmente n\u00e3o sabe se ele cont\u00e9m esses componentes de rastreamento de localiza\u00e7\u00e3o. O aplicativo pode ter um motivo leg\u00edtimo para solicitar sua localiza\u00e7\u00e3o \u2014 muitos aplicativos dependem da localiza\u00e7\u00e3o para funcionar corretamente. Mas esse aplicativo tamb\u00e9m pode vender seus dados de localiza\u00e7\u00e3o \u2014 \u00e9 dif\u00edcil dizer.<\/p>\n

Para ajudar os usu\u00e1rios experientes em tecnologia a minimizar suas chances de serem rastreados, Raiu criou uma lista dos servidores C&C usados pelos SDKs de rastreamento. Voc\u00ea os encontrar\u00e1 em sua p\u00e1gina pessoal do GitHub<\/a>. Um computador RaspberryPi com os softwares Pi-hole e WireGuard instalados pode ajudar a farejar o tr\u00e1fego em sua rede dom\u00e9stica e expor os aplicativos que tentam entrar em contato com esses servidores.<\/p>\n

O plano acima possivelmente vai um pouco al\u00e9m das habilidades tecnol\u00f3gicas da maioria das pessoas, mas voc\u00ea pode pelo menos diminuir suas chances de ser rastreado por tais aplicativos e servi\u00e7os, limitando as permiss\u00f5es dos aplicativos.<\/p>\n