Apps Android exploram permissões

Uma app em três acedem à localização e duas em cada três seguem a identidade dos utilizadores.

mobile privacy - TechHive

As apps Android usam as permissões que pedem para aceder às informações pessoais dos utilizadores: uma loja online regista a localização de um telefone até 10 vezes por minuto, descobriram pesquisadores franceses. As ferramentas para gerir esses acessos são limitados e insuficientes perante o quanto os telemóveis podem reunir de informação.

Num estudo recente, 10 voluntários utilizaram dispositivos Android que acompanhavam o comportamento das aplicações usando uma outra aplicação de monitorização, a Mobilitics, desenvolvida pelo Instituto Nacional Francês de Pesquisa Informática (INRIA) em conjunto com a Comissão Nacional de Informática e Liberdade (CNIL). A Mobilitics registou cada vez que outra app acedia a dados pessoais – a localização do telefone, um identificador, fotos, mensagens e outras – e se eram posteriormente transmitidos para um servidor externo. O registo do uso da informação pessoal nas aplicações foi armazenado no dispositivo e transferido ao final de três meses para análise.

Os voluntários foram encorajados a usar os telemóveis como se fossem seus e, no total, foram utilizadas 121 aplicações durante o período de Julho a Setembro. Um estudo semelhante no ano passado usou uma app especial em iOS para examinar a maneira como as aplicações do iPhone acedem aos dados pessoais dos utilizadores.

Muitas aplicações acedem às características identificadoras dos telemóveis para seguirem os seus utilizadores, dizem os investigadores. Uma das poucas opções que os utilizadores têm para evitar este comportamento é um interruptor nas “Configurações do Google” (“Google Settings”) para redefinir a identificação (ID) de publicidade no seu telemóvel. Isso não é de grande ajuda, dado que as aplicações têm outras formas de identificar os utilizadores. Quase dois terços das apps analisadas no teste de três meses acedeu pelo menos uma vez a um identificador do telemóvel, um quarto delas, pelo menos a dois identificadores, e um sexto a três ou mais. Isso permite às apps terem perfis dos seus utilizadores para fins publicitários.

mobile apps - INRIA

A localização foi um dos dados mais frequentemente acedidos. Foi responsável por 30% do total de acessos às informações pessoais durante o teste, e 30% das apps analisadas fê-lo nalgum momento. A app do Facebook registou a localização de um voluntário 150 mil vezes durante o período de três meses – mais de uma vez por minuto, em média, enquanto a Google Play Store registou outro utilizador 10 vezes por minuto, nalguns casos. Muitas vezes, o único uso que essas apps fazem de tais informações é servir publicidade personalizada, como foi o caso de um jogo que registou a localização do utilizador 3.000 vezes durante o estudo. O volume de dados recolhidos é impressionante: uma app, instalada de raiz num dos telemóveis, acedeu à localização do utilizador um milhão de vezes ao longo de um mês.

As apps não precisam de muitas permissões para construir um perfil abrangente do utilizador, disse o investigador do INRIA, Vincent Roca. Ele descreveu como, simplesmente solicitando acesso a permissões em “Internet” e “Access_Wifi_State”, uma aplicação poderia identificar o equipamento através do endereço MAC do seu adaptador de Wi-Fi e registar os seus movimentos. A app pode até permitir ao seu programador mapear a rede de contactos sociais do utilizador, através do envio de informações – sobre o momento em que ele encontrou uma rede Wi-Fi em particular – para um servidor central, onde essa informação pode ser comparada com dados semelhantes de outros telemóveis para ver quem mais estava ao mesmo tempo num certo local.

A CNIL – equivalente à portuguesa Comissão Nacional de Protecção de Dados – quer que os programadores de apps ou de sistemas operativos móveis a assumir mais responsabilidades pelo que pode ser feito com os seus produtos, e a fazerem esforços contínuos para fornecer aos utilizadores mais ferramentas para gerir a sua privacidade. A presidente da CNIL, Isabelle Falque-Pierrotin, disse que a “privacidade na concepção” (“privacy by design”) deve ser a filosofia dos programadores, e exortou-os a minimizarem a recolha de dados que não são necessários às aplicações para cumprir o seu propósito.




Deixe um comentário

O seu email não será publicado