Diversos apps para iOS e macOS roubam dados de usuários

Sabemos que a Apple preza pela segurança dos usuários e que a sua política de privacidade garante que apenas informações essenciais para o funcionamento de algum serviço sejam acessadas pela companhia — tudo devidamente informado, quando isso acontece. Ainda assim, também sabemos que nossas informações pessoais são constantemente acessadas por produtos e serviços de terceiros e que elas, por sua vez, são vendidas para outras empresas de forma ilegal.

Apesar de todo o zelo da Apple para que isso não aconteça, é difícil ter uma base de clientes tão grande e não enfrentar problemas com softwares criados para enganar e roubar informações sensíveis dessa gama de consumidores. Nós comentamos um caso similar na semana passada, no qual o app Adware Doctor acessava dados de navegação do usuário e os enviava para um servidor na China.

Recentemente, uma pesquisa da Malwarebytes apontou outros apps para o macOS que “sequestram” algumas funcionalidades do sistema para manipular o usuário a instalar e baixar determinados aplicativos para abrir algum documento, ataque bem similar ao esquema de URLs personalizadas que comentamos.

Entre esses, a Malwarebytes constatou que o app Open Any Files: RAR Support executava essa ação para acessar dados do Safari, do Chrome, do Firefox e de navegação da Mac App Store do usuário. Tudo isso era enviado para um servidor particular. Além dele, os apps Dr. Antivirus: Remove Malware e o popular Dr. Cleaner também obtêm acesso ao histórico dos navegadores instalados toda vez que uma varredura é realizada — e o pior é que isso acontece sem o consentimento do usuário e também não há uma forma de desativar tal recurso.

O 9to5Mac também apontou que o app Dr. Unarchiver enganava os usuários para acessar informações do macOS que não contribuem para o funcionamento do app. Entre essas, além de informações de navegadores, o aplicativo também coletava dados sobre outros softwares instalados e todas as informações coletadas eram enviadas para servidores do desenvolvedor em um arquivo ZIP.

A Apple já removeu todos os apps supracitados da sua loja; não obstante, os pesquisadores da Malwarebytes recomendam que você trate a Mac App Store como qualquer página da internet — o que vai de encontro à ideia da Apple —, ou seja, com conteúdos potencialmente perigosos. É importante não sair baixando qualquer software e é bom sempre verificar as avaliações e a reputação do desenvolvedor antes de adquirir um app.

Apps para iOS estão monetizando dados dos usuários

Em um movimento semelhante, alguns aplicativos para iOS foram analisados pela equipe do GuardianApp, que constatou um número considerável de apps usados para coletar, secretamente, dados precisos de milhões de gadgets — através de códigos fornecidos por empresas que monetizam essas informações. Em muitos casos, o dispositivo era rastreado constantemente, enviando dados localização em tempo real para essas empresas.

Os apps em questão são, principalmente, de notícias, de previsão do tempo e para monitorar atividades físicas, ou seja, apps que exigem acesso a dados de localização para funcionarem corretamente. Entre os aplicativos analisados pela empresa de segurança estão ASKfm, Radar Meteorológico, Perfect365, C25K 5K Trainer, Photobucket e outros. A lista completa de apps que vendem essas informações está disponível na página do GuardianApp.

Os dados roubados (que incluem informações do Wi-Fi, da operadora, do acelerômetro e da bateria) são enviados para empresas como Reveal, Sense360, Cuebiq, Mobiquity e Fysical. A Sense360 disse ao TechCrunch que os dados coletados são anônimos e que exige o consentimento de usuários para acessar essas informações. Já a Cuebiq alegou que utiliza um “método avançado de criptografia” para armazenar e transmitir dados, mas o GuardianApp não encontrou nenhuma evidência que sustente isso.

Os usuários que desejam evitar que seus dados sejam compartilhados com desenvolvedores devem tomar alguns cuidados que podem variar, de acordo com o tipo de app instalado. Nesse sentido, é recomendado limitar a publicidade rastreada (Ajustes » Privacidade » Publicidade) e rever quais apps estão usando os serviços de localização constantemente (em Ajustes » Privacidade » Serviços de Localização).

via MacRumors

Posts relacionados

Comentários