Defina o que significa os termos “popular” e “seguro” para você, e então começamos a conversar.
De acordo com o NetMarketShare, 71 de cada 100 smartphones do mundo comercializados em março de 2020 usam o sistema operacional Android (o iOS ficou com 28 unidades). Ou seja, a dominância do sistema operacional do Google ainda é inquestionável, o que gera uma consequência lógica desagradável: o líder sempre é alvo de ameaças.
Um relatório recém publicado mostra que aproximadamente 8.5% dos aplicativos mais populares do Android contam com um backdoor que permite (em determinadas condições e circunstâncias específicas) que os desenvolvedores (ou terceiros) possam obter o acesso não autorizado pelos seus usuários aos dispositivos.
Para realizar os testes, foi utilizada a ferramenta IMPUTSCOPE, que analisa o comportamento dos aplicativos quando é introduzido e validado textos nas mesmas, identificando ações anômalas que inicialmente não se encaixam no comportamento que se espera desses apps.
Foram analisados mais de 150 mil aplicativos Android, incluindo os 100 mil aplicativos mais populares da Google Play Store, os 20 mil principais aplicativos de uma loja alternativa, e 30 mil aplicativos pré-instalados presentes no firmware dos smartphones da Samsung.
As conclusões do estudo
“Embora esses aplicativos tenham uma funcionalidade rica e útil que é apresentada publicamente aos usuários finais, eles também contam com comportamentos ocultos que não são divulgados, como backdoors e listas negras projetadas para bloquear conteúdo indesejado. Descobrimos que a validação de entrada em aplicativos móveis pode ser usada para expor segredos desencadeados por tais entradas, como backdoors e segredos da lista negra, e que a funcionalidade dependente de entrada oculta é difundida em aplicativos Android.”
Os especialistas detectaram 12.706 aplicativos (8.47%) que contam com algum tipo de backdoor (como chaves de acesso secretas, senhas mestre e comandos secretos que oferecem acesso a funções que só podem ser acessadas pelos administradores) e 4.028 aplicativos (2.69%) que incluem listas negras secretas, que bloqueiam o conteúdo se ele inclui palavras chave específicas ou sujeitas à censura por qualquer motivo.
Em princípio, na validação da entrada de dados, tudo o que seria necessário era verificar se os dados digitados pelo usuário se ajustam a determinadas condições. Porém, a entrada de texto é a ferramenta mais comum para interagir com um app (em qualquer sistema operacional), pois é comum utilizar tal método também para acessar funções específicas (como as funções ocultas de administração, por exemplo). O problema não é o seu funcionamento em si, mas sim a falta de transparência para os usuários.
Muito provavelmente alguns apps que utilizamos todos os dias contam com uma porta traseira. E isso levanta o eterno debate: será que os desenvolvedores realmente precisam implantar esse tipo de funções?
Dois argumentos justificam a resposta NÃO: a falta de informação para o usuário, que desconhece a existência do recurso; e a possibilidade de um ciber delinquente descobrir essa porta traseira, e o uso ser mais prejudicial do que o inicialmente planejado.
É uma chave mestra poderosa e perigosa, e o melhor é que essa chave simplesmente não existisse. Mas como ela existe (infelizmente), o conselho que o TargetHD.net deixa para os mais precavidos é: todo cuidado é pouco. Não instale qualquer aplicativo no seu smartphone. Seja mais seletivo e sempre procure instalar apps de lojas oficiais.
Via CSE, NetMarketShare