Aplicações para iOS não são tão seguras quanto se pensa

45% das aplicações para iOS têm capacidades de registo de localização, em comparação com cerca de 35% para Android, diz a Bitdefender.

Andrew Brandt é director de pesquisa de ameaças da Blue Coat. E foi também vítima de publicidade agressiva numa aplicação móvel.

Há alguns meses, o entusiasta do Android transferiu um jogo promovido pela Amazon como aplicação gratuita do dia. “Eu realmente não achei nada nele, mas depois de ter jogado, coisas estranhas começaram a acontecer no meu telemóvel”, explicou por e-mail.

Por exemplo, começaram a aparecer notificações para coisas não instaladas no telefone. “Assim, em cerca de 30 minutos – entre instalação, jogar, e parar -, recebi uma confirmação de mensagem de texto de que tinha assinado algum tipo de serviço de SMS pago por 5,99 dólares por mês”, contou.

“Claro que eu não tinha assinado o serviço”, disse. “Na verdade, nem sequer tinha enviado uma única mensagem SMS nesse dia”.

O que aconteceu? Brandt deu permissão à aplicação para enviar mensagens SMS quando foi instalada – para que pudesse partilhar a pontuação e outros conteúdos sobre o jogo com amigos e outros jogadores.

Mas a app abusou do privilégio e enviou uma mensagem por meio de um método fora da aplicação de mensagens normal do telefone para se auto-inscrever num serviço premium.

O caso de Brandt foi rapidamente corrigido pelo seu operador e a Amazon retirou imediatamente a aplicação da sua loja online. Mas o problema das aplicações móveis meterem os seus narizes binários onde não devem está a aumentar. E, de acordo com um estudo da Bitdefender, é um mal que afecta significativamente tanto o mundo Android como o iOS.

Depois de analisar mais de meio milhão de aplicações gratuitas em ambas as plataformas ao longo do último ano, a Bitdefender constatou que “as aplicações são igualmente invasivas e curiosas tanto no iOS como no Android, mesmo que se possa argumentar que um dos sistemas operativos é mais seguro”.

O estudo sugere que o muro erguido em volta do “bem-cuidado jardim” da Apple pode ter algumas falhas. “Surpreendentemente, as aplicações iOS combinam com as do Android”, disse Bogdan Botezatu, analista sénior de e-ameaças da Bitdefender, por e-mail.

“O objectivo principal dos anunciantes é reter os dados do utilizador, independentemente da plataforma, e muitas vezes ir tão longe quanto a plataforma o permitir”, disse.

Por exemplo, mais de 45% das aplicações iOS contém capacidades de rastreamento de localização, em comparação com cerca de 35% para as aplicações Android, notou o estudo.

A Bitdefender constatou que 7,69% das aplicações para Android podem aceder aos contactos armazenados no telefone, e 18,9% das aplicações para o iOS fizeram a mesma coisa.

Embora uma parte das apps Android possam revelar a identificação (ID) de dispositivos, endereços de email e números de telefone, a Apple tem tapado os buracos no seu ecossistema.

Cerca de 15% das aplicações Android podem revelar os IDs dos dispositivos, revelou o estudo da Bitdefender, enquanto que quase 6% podem revelar e-mails e mais de 8% podem fazê-lo para números de telefone.

Já as aplicações para iOS, que tecnicamente poderiam revelar IDs de dispositivos, e-mails e números de telefone, são rejeitadas normalmente pela Apple, explicou Botezatu, quando os analisa para a adequação na sua loja de aplicações.

“A Apple há muito que aplica políticas rígidas”, disse Jeremy Linden, gestor de produto de segurança da Lookout, por e-mail. “Enquanto a Google Play tem políticas em relação ao comportamento de anúncios, eles não são tão rigorosos quanto a Apple”.

Além disso, a empresa de Cupertino impõe fortemente as suas políticas. “As apps têm que ser revistas antes de serem publicadas”, explica Linden. “Isso torna a publicação de uma aplicação iOS mais complicada, mas ajuda a cumprir algumas das políticas da Apple”.

A Apple não respondeu a um pedido de comentário.

De acordo com a TrendMicro, quase uma em cada quatro aplicações móveis Android contém malware do tipo que infectou o telefone de Brandt. “Essas aplicações não apenas recolhem as suas credenciais, mas [podem] enviar mensagens de texto e aceder a sites em que se é cobrado pelo seu fornecedor de telecomunicações”, disse Tom Kellermann, vice-presidente de ciber-segurança da Trend Micro, numa entrevista.

“É uma óptima maneira de explorar alguém”, refere, “porque faz o download de uma aplicação que, sem o seu conhecimento, rouba as suas credenciais e listas de contactos e o obriga a utilizar serviços premium”.

Embora o uso de adware agressivo seja um problema crescente no mundo da telefonia móvel, não é algo novo. “É um problema que sempre existiu”, disse Dirk Sigurdson, director de engenharia de segurança móvel da Rapid7, em entrevista. “Os PCs tambémsempre tiveram este problema. O adware sempre recolheu informações dos utilizadores para ajustar anúncios. Com o telemóvel, pelo menos, pode-se ver o que as suas aplicações estão a aceder”, acrescentou.
(John P. Mello Jr., CSO/IDG Now!)




Deixe um comentário

O seu email não será publicado