Especialistas em segurança acabam de encontrar dois problemas gigantescos de privacidade em smartphones
Esta foi uma semana impressionante no que diz respeito à privacidade e segurança dos usuários de smartphones. Especificamente, duas investigações revelaram preocupações preocupantes com a privacidade em torno da publicidade em smartphones e do sistema de notificação do iOS.
O primeiro, uma investigação profunda da 404 Media , descobriu que uma empresa chamada Patternz está transformando o sistema de entrega de anúncios em smartphones para extrair informações por meio de aplicativos e depois enviá-las aos licitantes.
O relatório descreveu o Patternz como “uma ferramenta de espionagem secreta que pode rastrear bilhões de perfis telefônicos por meio da indústria de publicidade”. Patternz usa um pipeline em aplicativos populares como 9Gag e vários aplicativos populares de identificação de chamadas para realizar seus trabalhos nefastos. A Patternz teria dito a seus clientes que pode monitorar praticamente qualquer aplicativo capaz de exibir anúncios.
O CEO da empresa diz que assim que a ferramenta, que cobre mais de meio milhão de aplicativos, for implantada, o telefone se transformará em uma “pulseira de rastreamento de fato”. De acordo com um artigo de pesquisa contundente, ele traça o perfil de mais de 5 bilhões de usuários e vende as informações aos clientes usando o mercado de lances em tempo real (RTB). Quer você tenha um iPhone ou um telefone Android, isso pode afetar você.
A ISA, empresa de vigilância por trás do Patternz, coleta esses dados de players de RTB como Google e X, anteriormente conhecido como Twitter. O conjunto de dados que vende pode incluir qualquer coisa, desde uma localização altamente específica de uma pessoa, com precisão de metros, até um histórico de seu padrão de movimento e até mesmo com quem ela está se encontrando.
Uma enorme rede de vigilância
A própria existência de tais ferramentas também questiona a eficiência do recurso App Tracking Transparency, fortemente comercializado pela Apple, que visa restringir esse rastreamento habilitado por anúncios.
Especialistas em segurança cibernética dizem que essas ferramentas permitem a vigilância governamental, e empresas como a ISA já estão anunciando os seus serviços às agências de segurança nacional. Isso não é coincidência.
O chefe da Agência de Segurança Nacional reconheceu que a NSA compra dados de navegação de americanos na Internet a corretores de dados, ignorando a necessidade de mandados.
A confirmação bombástica veio depois que o senador Ron Wyden (D-OR) suspendeu a nomeação do novo diretor da NSA, Timothy Haugh, e exigiu respostas sobre as práticas da agência na coleta de dados de localização e de Internet dos americanos.
Wyden, que há três anos tenta revelar que a NSA compra registros de internet de americanos, recebeu uma carta em 11 de dezembro do atual diretor da NSA, Paul Nakasone, confirmando essas compras. A Reuters relatou pela primeira vez os detalhes da carta.
Notificações podem ser nefastas
Mas os anúncios são apenas metade do problema. Outra investigação de Mysk revelou que malfeitores estão explorando as notificações push em iPhones para coletar dados cruciais para diagnóstico e entrega personalizada de dados.
Sempre que um aplicativo recebe uma notificação push, o iOS o ativa brevemente, oferecendo uma pequena janela para personalizar a notificação antes de mostrá-la ao usuário. Não é de surpreender que vários aplicativos sociais, famosos por seus hábitos invasivos de coleta de dados, estejam explorando esse tempo de execução em segundo plano fornecido por notificações push.
Os desenvolvedores podem usar essa brecha de maneira inteligente para executar código em segundo plano sempre que quiserem, simplesmente enviando notificações push. Vários aplicativos estão usando essa função para enviar secretamente dados abrangentes do dispositivo enquanto operam em segundo plano, executando efetivamente um sistema para impressão digital de dispositivos.
“A frequência com que muitos aplicativos enviam informações do dispositivo após serem acionados por uma notificação é alucinante”, afirma a empresa de segurança. Esta investigação revelou comportamentos suspeitos até mesmo em plataformas extremamente populares como Facebook, TikTok e LinkedIn.
O que os especialistas têm a dizer?
A única solução para este problema? Desativando notificações.
“Mais recentemente, os adversários parecem estar usando pop-ups de notificação e anúncios que podem induzir a vítima a instalar spyware em seus dispositivos”, disse Jon Clay, CEO da empresa global de segurança cibernética Trend Micro, à Digital Trends.
Então, o que uma pessoa comum pode fazer para evitar essa vigilância ilícita, que pode transmitir detalhes de identificação como localização e dados locais? “Muitas pessoas foram levadas a acreditar que os dispositivos móveis são seguros por si próprios”, diz Clay, observando que a instalação de bloqueadores de anúncios pode oferecer alguma forma de rede de segurança ou aplicativos de segurança dedicados.
“Ataques desta natureza são bastante insidiosos e extremamente alarmantes”, afirma Alan Bavosa, vice-presidente de produtos de segurança da Appdome. Ele observa que os usuários normalmente ficam em uma posição indefesa diante de tais ataques, uma vez que, em primeiro lugar, não estão cientes do que está acontecendo em seus dispositivos.
“Existem pequenas coisas que os usuários podem fazer para não piorar a situação, como baixar aplicativos de lojas de aplicativos padrão e não alterar (desbloquear ou fazer root) em seus dispositivos”, diz Bavosa. “Mas estas medidas são aditivas, não curativas.”
Infelizmente, parece que a responsabilidade recai, em última análise, sobre o usuário, e isso também é uma medida preventiva. Uma sugestão comum de especialistas em segurança cibernética é acessar manualmente o aplicativo de configurações e desativar aplicativos de notificação para determinados aplicativos e talvez também para sensores de dispositivos.
“Alguns adware e spyware podem ser publicados por pessoas mal-intencionadas nos mercados oficiais sob a aparência de um aplicativo legítimo”, diz Shawn Loveland, diretor de operações da Resecurity. “É recomendado não instalar aplicativos aleatórios ou aplicativos que você realmente não precisa.”
Embora os malfeitores tenham encontrado soluções alternativas, pedir aos aplicativos que não rastreiem a atividade do usuário no seu iPhone é uma medida prudente. “É uma boa ideia verificar periodicamente as permissões dos aplicativos, principalmente aqueles relacionados à localização e ao acesso ao microfone, e desabilitar aqueles que não sejam necessários”, sugere John Chapman, cofundador da empresa de segurança MSP Blueshift.
Algum adiamento chegará ainda este ano, enquanto a Apple se prepara para pedir aos desenvolvedores que expliquem explicitamente por que precisam acessar notificações push e sistemas de diagnóstico relacionados em iPhones. Não vai resolver todos os problemas de uma só vez, mas é pelo menos um começo decente.