Imagem: Kaspersky

Alguns aplicativos móveis rastreiam sua localização — e a informam secretamente a serviços que vendem seus dados. É quase certo que você use pelo menos um desses aplicativos sem nem mesmo saber. Como você descobre quais aplicativos podem ser problemáticos — e o que você pode fazer a respeito?

Quais aplicativos móveis estão rastreando você?

Ao visualizar o fluxo de spring breakers (turistas de férias da primavera) em apenas uma praia na Flórida se espalhando por todos os EUA durante a pandemia COVID-19, o diretor do Kaspersky GReAT, Costin Raiu, não pensou no coronavírus, mas sim em aplicativos que rastreiam a localização de seus usuários. O relatório usou uma pesquisa, incluindo dados de localização do X-Mode. Mas de onde o X-Mode conseguiu os dados?

Bem, o X-Mode distribui um SDK — um componente que os desenvolvedores podem incorporar em seus aplicativos — e, dependendo do número de usuários regulares do aplicativo, chega a pagar aos desenvolvedores mensalmente para incluí-lo. Em troca, o SDK coleta dados de localização, bem como alguns dados dos sensores do smartphone, como o giroscópio, e os envia aos servidores X-Mode. Mais tarde, o X-Mode vende os dados supostamente anônimos para quem quiser comprá-los.

Nos siga no Instagram, Telegram ou no Whatsapp e fique atualizado com as últimas notícias de nossas forças armadas e indústria da defesa.

O X-Mode afirma que o SDK não tem um grande impacto na vida útil da bateria, usando apenas cerca de 1% a 3% da carga, então os usuários basicamente nem perceberão o SDK e não serão incomodados por ele. O X-Mode também afirma que a coleta de dados dessa maneira é “definitivamente legal” e que o SDK é totalmente compatível com GDPR (Regulamento Geral sobre a Proteção de Dados).

Quantos desses aplicativos de rastreamento existem?

Raiu se perguntou: estou sendo rastreado dessa forma? A maneira mais fácil de descobrir era identificar os endereços dos servidores de comando e controle usados pelos SDKs de rastreamento – e monitorar o tráfego de rede de saída de seu dispositivo. Se um aplicativo em seu smartphone estivesse se comunicando com pelo menos um desses servidores, isso significaria que ele estava de fato sendo rastreado. Para completar a tarefa, Raiu precisava descobrir os endereços do servidor. Sua pesquisa se tornou a base para sua palestra na conferência SAS@home deste ano.

Depois de alguma engenharia reversa, algumas suposições, alguma descriptografia e algumas vasculhadas, ele os encontrou – e escreveu um trecho de código que o ajudou a detectar se um aplicativo estava tentando acessá-los. Basicamente, ele descobriu, se um aplicativo tem uma determinada linha de código, ele usa o SDK de rastreamento.

Raiu encontrou mais de 240 aplicativos distintos com o SDK integrado. No total, esses aplicativos foram instalados mais de 500 milhões de vezes. Se partirmos com uma suposição bastante aproximada de que o usuário médio instalou tal aplicativo apenas uma vez, isso significaria que cerca de 1 em cada 16 pessoas em todo o mundo tem tal aplicativo de rastreamento instalado em seus dispositivos. Isso é muito. Sua chance de ser um deles é, bem, 1/16.

A X-Mode é apenas uma das dezenas de empresas neste setor.

Além disso, qualquer aplicativo pode conter mais de um SDK. Por exemplo, enquanto Raiu estava examinando um aplicativo que incluía o SDK do X-Mode em questão, ele descobriu cinco outros componentes de outras empresas que também estavam coletando dados de localização. Obviamente, o desenvolvedor estava tentando tirar o máximo de dinheiro possível do aplicativo – e nem era gratuito. Pagar por um aplicativo não significa, infelizmente, que seus criadores não estejam tentando obter mais dinheiro com o negócio.

O que você pode fazer para evitar o rastreamento?

O problema com esses SDKs de rastreamento é que, ao fazer o download de um aplicativo, você simplesmente não sabe se ele contém esses componentes de rastreamento de localização. O aplicativo pode ter um motivo legítimo para solicitar sua localização — muitos aplicativos dependem da localização para funcionar corretamente. Mas esse aplicativo também pode vender seus dados de localização — é difícil dizer.

Para ajudar os usuários experientes em tecnologia a minimizar suas chances de serem rastreados, Raiu criou uma lista dos servidores C&C usados pelos SDKs de rastreamento. Você os encontrará em sua página pessoal do GitHub. Um computador RaspberryPi com os softwares Pi-hole e WireGuard instalados pode ajudar a farejar o tráfego em sua rede doméstica e expor os aplicativos que tentam entrar em contato com esses servidores.

O plano acima possivelmente vai um pouco além das habilidades tecnológicas da maioria das pessoas, mas você pode pelo menos diminuir suas chances de ser rastreado por tais aplicativos e serviços, limitando as permissões dos aplicativos.

  • Verifique quais aplicativos têm permissão para usar sua localização. Você pode encontrar informações sobre como fazer isso no Android 8 aqui; as versões posteriores não diferem significativamente. E aqui você pode aprender como parar o rastreamento de localização no iOS. Se você não acha que algum aplicativo realmente precisa dessa permissão, não hesite em revogá-la.
  • Dê aos apps permissão para usar sua localização apenas enquanto você os estiver utilizando. A maioria dos aplicativos não precisa saber sua localização quando estão sendo executados em segundo plano, tornando essa configuração ideal para muitos deles.
  • Exclua os aplicativos que você não usa mais. Se você não abriu um aplicativo em, digamos, um mês ou mais, provavelmente é seguro assumir que você não precisa dele; e se você precisar no futuro, sempre pode reinstalá-lo.
  • Lembre-se de que os componentes de rastreamento de localização certamente não são as piores coisas que podem ser encontradas em um aplicativo, mesmo em aplicativos legítimos distribuídos em lojas oficiais. Alguns aplicativos podem ser totalmente maliciosos e alguns podem se tornar ruins após serem vendidos ou apenas atualizados. É por isso que recomendamos o uso de uma solução de segurança robusta, como o Kaspersky Internet Security para Android, que protege você contra todos os tipos de ameaças móveis.

Fonte: Kaspersky

Marcelo Barros
Jornalista (MTB 38082/RJ). Graduado em Sistemas de Informação pela Universidade Estácio de Sá (2009). Pós-graduado em Administração de Banco de Dados (UNESA), pós-graduado em Gestão da Tecnologia da Informação e Comunicação (UCAM) e MBA em Gestão de Projetos e Processos (UCAM). Atualmente é o vice-presidente do Instituto de Defesa Cibernética (www.idciber.org), editor-chefe do Defesa em Foco (www.defesaemfoco.com.br), revista eletrônica especializado em Defesa e Segurança, co-fundador do portal DCiber.org (www.dciber.org), especializado em Defesa Cibernética. Participo também como pesquisador voluntário no Laboratório de Simulações e Cenários (LSC) da Escola de Guerra Naval (EGN) nos subgrupos de Cibersegurança, Internet das Coisas e Inteligência Artificial. Especializações em Inteligência e Contrainteligência na ABEIC, Ciclo de Estudos Estratégicos de Defesa na ESG, Curso Avançado em Jogos de Guerra, Curso de Extensão em Defesa Nacional na ESD, entre outros. Atuo também como responsável da parte da tecnologia da informação do Projeto Radar (www.projetoradar.com.br), do Grupo Economia do Mar (www.grupoeconomiadomar.com.br) e Observatório de Políticas do Mar (www.observatoriopoliticasmar.com.br) ; e sócio da Editora Alpheratz (www.alpheratz.com.br).