É assim que os apps Android revelam nossos segredos sem que saibamos

Los Histórico São um diário longo e exaustivo que compila o que acontece em um app. Seu uso original e aceito é detectar insetos (bugs no código) antes de liberar os aplicativos para o público. Mas, na verdade, não é só isso que acontece. O Google pede aos desenvolvedores de aplicativos que removam o Histórico uma vez que os aplicativos são publicados, porque eles podem conter informações confidenciais. E pesquisas recentes mostram que eles ainda estão lá e que tudo pode ser encontrado neles.

“Descobrimos que o Histórico não possuem informações puramente técnicas, mas por descuido ou intencionalmente também podem conter dados pessoais ou informações que revelem a atividade do usuário”, diz Juan Tapiador, professor da Universidade Carlos III e um dos autores do artigo. “Um exemplo é o caso do Microsoft Teams ou Discord, ou o aplicativos farmacêuticos CVS e Drug Mart, que possuem atividades que fornecem muitas informações. No caso do Teams, é possível saber, por exemplo, o momento exato em que você fez uma ligação. No caso de CVS e Drug Mart, entre outros dados, são armazenadas as categorias de produtos utilizadas para filtrar os resultados da busca”. Isso registra o tipo de medicamento que alguém está procurando, desde anticoncepcionais até pílulas para colesterol.

A permissão para acessar essas vastas informações pessoais privadas no Android é limitada ao Google, aos fabricantes dos dispositivos e aos aplicativos pré-instalados que esses fabricantes escolheram colocar lá. Entre eles, existem empresas que se dedicam à publicidade. O saque a que eles têm acesso nas entranhas dos celulares Android é difícil de calcular. É onde todos eles correm aplicativos, e pode ser desde nossa localização até nossos interesses ou nossos relacionamentos amorosos.

O Android é baseado em um projeto de código aberto mantido pelo Google. Mas não é um ecossistema fechado como o do Apple iPhone. “Qualquer fabricante de telefone pode fazer alterações no sistema operacional e aplicativos de outras organizações com as quais possui acordos comerciais, incluindo aplicativos de empresas que fazem parte do setor baseado na comercialização de dados pessoais e publicidade”, diz Narseo Vallina-Rodríguez, pesquisador da Imdea Networks e cofundador da AppCensus, dedicada à análise de privacidade em aplicativos. “O grande problema é que aqueles Os aplicativos pré-instalados fazem parte do sistema operacional e têm acesso privilegiado a dados e recursos confidenciais que um aplicativo normal não pode acessar, como é o caso com Histórico do sistema desde a versão Android 4.1″.

Uma selva de hardware e software

É um equilíbrio complexo em uma paisagem caótica. Os dispositivos Android vivem em um ambiente de selva, onde dezenas de empresas tentam extirpar dados e lucrar sem que isso seja óbvio. “Os riscos de segurança e privacidade decorrentes da cadeia de suprimentos são complexos de resolver. Muitas partes estão envolvidas na fabricação de um produto e de todo o software que ele inclui, às vezes com relações complexas entre si, e onde os riscos de uma entidade podem ser facilmente herdados por outras”, diz Juan Tapiador.

A perguntas do EL PAÍS, uma porta-voz do Google respondeu que eles tentam fazer tudo ao mesmo tempo: proteger o usuário e dar mais possibilidades aos desenvolvedores de aplicativos. “A segurança e a privacidade do usuário são as principais prioridades do Android. Agradecemos muito a pesquisa da comunidade que ajuda a manter o Android seguro. Fazemos melhorias constantes nos recursos do Android para garantir que os dados do usuário sejam seguros e privados, enquanto permitimos que os desenvolvedores criem os melhores aplicativos possíveis”, diz o porta-voz.

A Google admite a este jornal que todas as aplicações que têm acesso aos registos dos dispositivos são aplicações autorizadas pelos fabricantes dos dispositivos, transferindo assim para outros intervenientes parte da responsabilidade pelas invasões que daí possam advir.

“Fiquei genuinamente surpreso com o nível de dados confidenciais registrados pelos fabricantes de dispositivos de segurança. hardware”, diz Serge Egelman, pesquisador da Universidade da Califórnia em Berkeley (EUA) e também cofundador do AppCensus. “Se esses dispositivos estão sendo certificados pelo Google como dispositivos Android oficiais, realmente precisa haver alguma supervisão de que eles estão seguindo as políticas do Google e as práticas recomendadas básicas”.

Mas ninguém monitora ou garante que essas informações não existam ou não sejam acessíveis a atores que possam fazer uso indevido das informações privadas dos usuários. Bart Preneel, professor da Universidade Católica de Leuven e diretor técnico do aplicativo A empresa belga de rastreamento digital, Coronalert, descreve o problema em três pontos: “Primeiro, torna mais fácil para os desenvolvedores registrar muitas informações, e a maioria contém dados confidenciais, principalmente se os registros de vários aplicativos forem combinados. Dois, esta informação é útil para o Google e para os fabricantes. Mas muitos outros aplicativos autorizados por eles também têm acesso, então o risco de abuso é muito alto: permite a criação de perfis de usuário por um grande número de partes. E três, o Google adverte os desenvolvedores para não registrar muito, mas os desenvolvedores fazem isso de qualquer maneira e não são policiados”, diz Preneel.

Um remédio insuficiente do Google

Neste caso, as informações que aparecem no Histórico realmente não deveria estar lá. O conselho do Android há anos é evitar incluir atividades privadas nesses logs. Mas não é controlado ou monitorado e para desenvolvedores e fabricantes de aplicativos o problema não é diretamente deles. É um exemplo claro de que a pior consequência é do usuário, que nada sabe do que está acontecendo. É Programas que já está lá quando chega às suas mãos, dentro do seu celular.

Depois de saber da investigação, o Google lançou um aviso para os usuários na versão 13 do Android: “Os mecanismos que o Google introduziu no Android 13 para melhorar a transparência e informar os usuários sobre o acesso a Histórico por aplicativos pré-instalados são um bom passo”, diz Vallina-Rodríguez. “Eles permitirão que os usuários controlem quando e quem pode acessar essas informações. No entanto, melhorar o sistema de licenciamento apenas atenua esse problema específico e não pode resolver os problemas gerais associados à falta de controle sobre a cadeia de suprimentos de produtos digitais”, acrescenta. É um remédio insuficiente, acrescenta Preenel: “É apenas um patch, a maioria dos usuários não tem tempo ou desejo de controlar esses tipos de configurações.”

O Google obviamente não tem total responsabilidade aqui. desenvolvedores de aplicativos devem ter mais cuidado com as informações que permitem que apareçam no Histórico e sabendo que eles não são os únicos que têm acesso a essas informações: “Os criadores de aplicativos podem registrar menos dados”, diz Joel Reardon, pesquisador da Universidade de Calgary e cofundador do AppCensus. “Muitos aplicativos usam serviços como o Crashlytics para coletar logs de erros, o que permite depurar com o aplicativo já implantado. Antes, os usuários desse tipo de Programas se chamavam testadores beta e a participação foi voluntária. Se os criadores de aplicativos não pretendem examinar os logs, há muito menos motivos para registrar tantos dados quanto encontramos.”

você pode seguir O PAÍS Tecnologia em Facebook y Twitter ou cadastre-se aqui para receber nossos newsletter semanal.