O caso do FaceApp, aplicativo que usa inteligência artificial para envelhecer um rosto de forma realista, fez todos os olhares se voltarem para um aspecto comum, que poucos usuários notam. Ao instalá-lo, surge o aviso de que todos os nossos dados serão utilizados e inclusive cedidos terceiros, sem nenhum controle. O alerta é dado num processo que poucos usuários leem, ou que aceitam sem pensar nas consequências. Mas alguns programas para celulares podem não necessitar nem sequer do consentimento explícito. Milhares de aplicativos burlam as limitações e espionam, mesmo sem receberem autorização do dono do celular.
Afinal, para que a lanterna do aparelho precisa ter acesso à localização de um usuário? E um aplicativo de retoque fotográfico ao microfone? Ou um gravador aos seus contatos? Em princípio, esses aplicativos não precisam de permissões desse tipo para funcionar. Quando agem assim, costuma ser para procurar um bem extremamente valioso: os dados. Os usuários podem dar ou negar diferentes permissões aos aplicativos para que acessem sua localização, os contatos e os arquivos armazenados no telefone. Mas uma pesquisa de uma equipe de especialistas em segurança cibernética revelou que até 12.923 apps encontraram a forma de continuar recolhendo informação privada apesar de as autorizações terem sido explicitamente negadas.
Esse estudo expõe a dificuldade dos usuários em proteger sua privacidade. Pesquisadores do Instituto Internacional de Ciências Computacionais (ICSI) em Berkeley, do IMDEA Networks Institute de Madri, da Universidade de Calgary (Canadá) e da empresa AppCensus analisaram um total de 88.000 aplicativos da Play Store e observaram que milhares deles acessam informações como localização ou dados do aparelho no qual o usuário tinha previamente recusado essas autorizações.
Os especialistas ainda não divulgaram a lista completa de aplicativos que realizam essas práticas. Mas, segundo a pesquisa, encontram-se entre elas a aplicativo do parque Disney de Hong Kong, o navegador da Samsung e o buscador chinês Baidu. O número de usuários potenciais afetados por essas descobertas é de “centenas de milhões”.
Borja Adsuara, advogado especialista em direito digital, afirma que se trata de “uma infração muito grave”, porque o sistema operacional Android exige que os appspeçam o acesso consentido a esses dados através de permissões, e o usuário lhes diz expressamente que não. O consentimento, explica, funciona de forma muito parecida tanto na intimidade física como na não física – os dados pessoais. “É como no caso de um estupro em que a vítima diz expressamente que não”, compara.
Narseo Vallina-Rodríguez, coautor do estudo, diz que “não está claro se haverá correções ou atualizações para os bilhões de usuários Android que atualmente utilizam versões do sistema operacional com essas vulnerabilidades”. O Google não especificou a este jornal se cogita retirar do mercado ou tomar alguma medida contra os aplicativos que, segundo o estudo, acessam os dados dos usuários sem a permissão pertinente. No entanto, assegurou que o problema será resolvido com o Android Q, a próxima versão de seu sistema operacional. A companhia pretende lançar nos próximos meses seis versões beta do Android Q, até oferecer a versão final durante o terceiro trimestre do ano.
Como os aplicativos acessam a informação privada do usuário sem as permissões necessárias? Eles burlam os mecanismos de controle do sistema operacional mediante os chamados side channels (canais paralelos) e covert channels (canais encobertos). Vallina faz a seguinte comparação: “Para entrar em uma casa, [o dado do usuário] pode passar pela porta com a chave que o dono lhe deu [a permissão], mas também pode entrar sem o consentimento do proprietário, aproveitando-se de uma vulnerabilidade da porta [um side channel] ou com a ajuda de alguém que já está dentro [covert channel]”.
Por: ISABEL RUBIO – El País/Brasil