Anúncios em celulares podem ameaçar segurança

Para se proteger contra comportamentos mal-intencionados, aplicativos de smartphones com Android precisam pedir educadamente sua permissão para fazer coisas como acessar suas informações pessoais, rastrear sua localização ou transmitir dados pela internet. Mas uma vez que tenham obtido sua aprovação, esses aplicativos podem compartilhar permissões com as bibliotecas de publicidade que usam para atender anúncios, criando potenciais vulnerabilidades de privacidade e segurança.

Analisando 100 mil aplicativos selecionados aleatoriamente do Google Play (antigo Android Market), uma equipe de pesquisadores da North Carolina State University descobriu que 48.139 das bibliotecas de anúncios usadas por esses aplicativos rastreavam a localização GPS do usuário; 18.575 rastreavam a identidade do telefone (seu número IMEI); 4.190 permitiam que anunciantes rastreassem o usuário via GPS; e 4.047 acessavam o número de telefone do dispositivo.

Existem dúzias de "bibliotecas de publicidade" como essas, gerando anúncios na tela com os aplicativos associados. Quando você clica num anúncio, o fabricante do aplicativo recebe uma taxa. Uma dessas bibliotecas, chamada energysource, usa um método inseguro de carregar códigos a partir da internet, afirmou Xuxian Jiang, professor da North Carolina que conduziu o estudo _ lançado como artigo a ser apresentado numa conferência em Tucson, no próximo mês. Embora os pesquisadores não tenham identificado comportamento mal-intencionado no aplicativo, eles afirmaram que ele representa uma ameaça de segurança simplesmente ao permitir que códigos sejam baixados e executados.

Dos 100 mil aplicativos, 297 continham códigos de anúncios que permitiram ao telefone executar códigos baixados da internet, oferecendo uma potencial porta de entrada a softwares maliciosos. "Se o seu aplicativo tem permissão para acessar informações pessoais, a biblioteca de publicidade também pode acessar essas informações", explicou Jiang.

A pesquisa é apenas a evidência mais recente de falhas de segurança e privacidade em smartphones. Em abril do ano passado, foram descobertos iPhones e dispositivos Android rastreando automaticamente as localizações de seus usuários. Então, em dezembro, esses e outros smartphones mostraram trazer softwares de diagnóstico que também rastreiam uma ampla gama de informações do usuário. Mais recentemente, descobriu-se que tanto o iPhone quanto os dispositivos Android compartilhavam os contatos e outras informações com aplicativos. E as ocorrências de malware em celulares vêm aumentando.

As novas descobertas apontam uma falha no modelo de negócios por trás dos aplicativos, disse Jiang. Os desenvolvedores dependem da receita de bibliotecas de anúncios para patrocinar seus aplicativos gratuitos, mas não possuem controle sobre o que essas bibliotecas fazem. "O atual modelo de incorporar bibliotecas de anúncios em aplicativos móveis por motivos de monetização traz riscos de segurança e privacidade. Essas bibliotecas terão basicamente o mesmo conjunto de permissões concedidas aos aplicativos associados. E certas bibliotecas podem abusar dessas permissões com finalidades indesejadas", declarou Jiang.

Segundo Jiang, os fabricantes de dispositivos móveis devem oferecer maneiras de isolar os dois, de forma que os anúncios sejam executados separadamente dos aplicativos hospedeiros _ e exijam permissões separadas explícitas. "Existem problemas fundamentais na forma como os aplicativos móveis estão sendo monetizados", acrescentou ele.

Para agravar a situação, outra recente pesquisa descobriu que anúncios associados a aplicativos Android gratuitos também demandam uma carga excessiva de bateria. Abhinav Pathak, cientista da computação da Purdue University, e colegas da Microsoft Research descobriram que até três quartos da bateria usada por tais aplicativos são gastos para servir anúncios e transmitir dados do usuário aos anunciantes.

The New York Times News Service/Syndicate – Todos os direitos reservados. É proibido todo tipo de reprodução sem autorização por escrito do The New York Times.

fonte: nytsyn.br