Milhões de aplicações colocam informações privadas em risco

António Santos Lourenço,

Uma análise profunda a aplicações revelou que os dados são enviados em HTTP e sem encriptação, ou seja, estão desprotegidos na viagem até aos servidores.

Um SDK é um conjunto de ferramentas de desenvolvimento, muitas vezes distribuído gratuitamente, que permite que os criadores de software se concentrem nos principais elementos de uma ou mais aplicações, delegando outras funcionalidades para os SDKs.

Os autores usam, muitas vezes, código de terceiros para poupar tempo, reutilizando funcionalidades existentes para desenvolver partes da aplicação. Por exemplo, SDKs de publicidade recolhem informações dos utilizadores para lhes apresentarem anúncios mais relevantes para os seus gostos, ajudando assim os programadores a rentabilizar os seus produtos.

Os kits enviam essas informações recolhidas para os domínios de redes de publicidade em todo o mundo, para que depois se consigam apresentar anúncios para um target mais específico.

Na realidade, uma análise mais profunda às aplicações revelou que os dados são enviados em HTTP e sem encriptação, ou seja, estão desprotegidos na viagem até aos servidores. Devido à ausência de encriptação, a informação pode ser intercetada por qualquer pessoa – quer através de redes Wi-Fi desprotegidas, pelo Fornecedor de Serviços de Internet ou através de malware num router em casa.

Além disso, as informações podem também ser modificadas, o que significa que a aplicação irá apresentar anúncios maliciosos em vez de legítimos. Os utilizadores serão então convidados a fazer o download de uma aplicação apresentada e que nada mais é do que malware que irá colocar os seus dispositivos em risco.

Investigadores da Kaspersky Lab examinaram, numa Sandbox Android interna, os registos e o tráfego de rede de aplicações para descobrir quais aquelas que transmitem informações de utilizadores não encriptadas através de HTTP. Foram identificados vários domínios, alguns pertencentes a grandes e conhecidas redes de publicidade.

Num total de milhões de aplicações que utilizam estes SDKs, a sua maioria transmite, de forma insegura e desprotegida, informações pessoais (maioritariamente o nome, idade e género do utilizador, podendo incluir, em alguns casos, o seu salário; O seu número de telefone e email podem também ser divulgados); informação do dispositivo, tal como o fornecedor, modelo, resolução de ecrã, versão do sistema e nome da aplicação; e localização do dispositivo.