Nota: O seguinte artigo irá ajudá-lo com: Google Play precisa de controle de qualidade real, nem mesmo aplicativos VPN são seguros
O Google Play é o mercado oficial de aplicativos para Android e, como tal, é considerado o mais seguro. No entanto, vários relatórios de aplicativos maliciosos têm surgido ultimamente. Malware disfarçado de jogos, aplicativos de beleza que roubam fotos de usuários e muito mais. É claro que a empresa de Mountain View geralmente é rápida em responder e remover esses aplicativos, mas com bastante frequência eles atingem milhares, senão milhões de downloads antes de serem retirados. Agora, um novo relatório do Top10VPN revela que mesmo os aplicativos VPN, que deveriam proteger sua privacidade, podem realmente torná-lo mais vulnerável. Onde está o controle de qualidade?
Aplicativos VPN de alto risco
VPN ou conexões de rede privada virtual são comumente usadas com maior privacidade e segurança em mente. No entanto, os 150 aplicativos gratuitos mais populares que fornecem o serviço no Google Play sofreram problemas fundamentais de privacidade. A pesquisa da Top10VPN revelou que 85% dos aplicativos VPN mais populares solicitam permissões excessivas. Por exemplo, apesar da VPN ser usada rotineiramente para mascarar a localização do usuário, 25% dos aplicativos estudados solicitaram permissões de localização.
Simon Migliano, chefe de pesquisa da Top10VPN, desaprova essa prática: “Dado o quão fundamental é mascarar a verdadeira localização de um usuário para o conceito de uma VPN, é perturbador ver quantos aplicativos contêm código para obter a última localização conhecida do usuário. Também é difícil acreditar que qualquer desenvolvedor possa esperar que alguém confie em seu aplicativo VPN quando inclui permissões e comandos para usar a câmera ou acessar seus contatos.”
O Google vem tentando reprimir permissões excessivas há algum tempo, mas parece que o problema persiste. Outro problema são as bibliotecas de publicidade de terceiros, que também colocam em risco a privacidade do usuário, mas continuam incrivelmente comuns, mesmo entre aplicativos VPN.
Mais preocupante, no entanto, o Top10VPN detectou vazamentos de DNS em 25% dos aplicativos Android VPN gratuitos mais populares: feito diretamente para os servidores DNS do ISP padrão. Mesmo que o restante do tráfego possa ser ocultado, o vazamento expõe o histórico de navegação de um usuário ao seu ISP e a qualquer operador de servidor DNS de terceiros que ele possa usar.”
Sabendo disso, não é difícil concluir que esses aplicativos não estão servindo ao seu propósito principal, mesmo que não haja intenção maliciosa por parte dos desenvolvedores. O que nos leva à próxima pergunta:
O que o Google está fazendo sobre isso?
Se você acha que o Google ficou de braços cruzados enquanto aplicativos duvidosos ou maliciosos inundam a Play Store, você está errado. Embora nem sempre tenham sido os mais rápidos em responder a problemas com sua plataforma, eles têm feito esforços contínuos para melhorá-la.
A abertura é a maior força do Android, mas também sua maior fraqueza. A fragmentação sempre apresentou problemas de segurança, facilitando a exploração de falhas conhecidas em versões mais antigas do sistema operacional. No entanto, o Project Treble abordou esse problema até certo ponto, com patches de segurança muito mais comuns do que há alguns anos. E desde o lançamento do Android Oreo, o Google deu aos usuários mais controle sobre as permissões. Ele também reprimiu as permissões de SMS e registro de chamadas, restringindo seu uso apenas para ‘funcionalidades de aplicativos essenciais aprovados’.
No entanto, é hora de fazer o mesmo com aplicativos que solicitam localização, microfone e uso da câmera? Desenvolvedores independentes podem argumentar contra isso, já que o processo de aprovação ou qualquer disputa que possa surgir pode ser demorado. Claro, alguns usuários também discordariam se isso significasse menos opções de aplicativos. Não há uma solução fácil.
Aplicativos cheios de malware são outra questão, no entanto. Aqui o Google confia na automação. O Google Play Protect é a ‘proteção integrada contra malware’ do Android. Ele usa algoritmos de aprendizado de máquina para escanear bilhões de dispositivos diariamente. A empresa de Mountain View também afirma que 99% dos aplicativos com ‘conteúdo abusivo’ nunca chegam à Play Store precisamente por causa do aprendizado de máquina. No entanto, a empresa ainda teve que derrubar 700.000 aplicativos que violaram as políticas em 2017, depois de já terem chegado à plataforma. O Play Protect nem sempre teve um bom desempenho nos testes.
O que pode ser feito neste caso? Se existe uma empresa com fundos e recursos suficientes para ter pelo menos alguma triagem realizada por humanos, é o Google. Sim, a IA é o caminho a seguir e é necessária quando se trata de digitalizar grandes quantidades de dados. Isso não significa, porém, que seja infalível. Sempre haverá alguns aplicativos maliciosos que escapam das rachaduras, mas o aprendizado de máquina assistido por humanos provavelmente poderia ter uma chance melhor de derrubá-los antes que eles atinjam milhões de downloads.
O que você pode fazer?
O que os usuários podem fazer para proteger sua privacidade e evitar malware? O habitual se aplica – não instale aplicativos que exijam permissões extensas. Os aplicativos de lanterna não precisam realmente saber sua localização para fazer seu trabalho. Confiar em aplicativos do sistema em vez de aplicativos de terceiros para o essencial (teclado, câmera etc.) também é preferível, pois esses aplicativos criam ou têm acesso a dados confidenciais. Claro, sempre verifique as avaliações do aplicativo também. Se a maioria dos usuários teve uma experiência ruim, é provável que você também tenha. Você também pode conferir nosso guia sobre como identificar aplicativos imitadores e falsos:
Finalmente, às vezes não há muito que você poderia ter feito – algum aplicativo malicioso se disfarça incrivelmente bem. É aqui que o Google precisa intervir e agir. Eles fizeram progressos nos últimos dois anos, mas, na minha opinião, ainda há muito trabalho a ser feito.
O que você acha? Que medidas o Google deve tomar? Compartilhe seus pensamentos nos comentários.