Apps populares no Android ainda continuam compartilhando dados com o Facebook

Alguns aplicativos populares usados no sistema operacional Android continuam compartilhando sem consentimento dados de usuários com o Facebook. O objetivo é a criação de perfis para a personalização de anúncios. A informação é de uma pesquisa feita pela ONG Privacy International, que já havia identificado o problema em dezembro do ano passado – à época, a rede social afirmou que encerrou os compartilhamentos de dados.

De acordo com a pesquisa, os aplicativos do Android compartilham dados com o Facebook assim que o usuário entra na plataforma – entre os apps que ainda continuam com a prática estão a plataforma de ensino de idiomas Duolingo, o aplicativo de procura de emprego Indeed e algumas plataformas religiosas. A rede social também obtém dados de usuários que não estão logados no Facebook e até mesmo daqueles que não têm uma conta na rede social.

Não se sabe ao certo que tipos de dados são coletados. Entretanto, a ONG afirma que as informações permitem que o Facebook saiba qual aplicativo da empresa o usuário está usando, o que inclui o Messenger, o WhatsApp e o Instagram. A rede social também consegue saber quando o usuário abre um aplicativo em seu dispositivo. O Facebook não comentou o assunto.

Essa prática é ilegal de acordo com a lei de proteção de dados europeia, a GDPR, que entrou em vigor em maio do ano passado – as novas regras estabelecem que é necessário o consentimento dos usuários antes da coleta de dados pessoais. As empresas que transmitem dados sem permissão podem ser obrigadas a pagar uma multa de até 4% de seu faturamento.

O estudo inicial da Privacy International revelado em dezembro do ano passado analisou os 34 aplicativos mais populares utilizados no sistema operacional Android e descobriu que ao menos 20 deles compartilhavam dados com o Facebook sem a permissão dos usuários. A ONG afirmou que parte desses aplicativos não repassa mais dados ao Facebook.

Fonte: Estadão

Apps para iOS podem estar gravando sua tela sem o seu conhecimento

Se você usa um iPhone ou um iPad, tome cuidado: alguns apps para iOS estão monitorando a tela do seu dispositivo a fim de enviar informações de uso para as suas desenvolvedoras. E o pior, eles não pedem permissão e tampouco informam você a respeito disso.

Segundo o site TechCrunch, apps populares de hotelaria, moda, companhias áreas e até bancos, entre outros, fazem isso. Uma das tecnologias usadas por eles é a Glassbox, que conta com um o recurso “session replay” (repetir sessão) que grava as sessões de uso e permite ao desenvolvedor rever ali tudo o que o usuário fez.

Com isso, essas companhias podem gravar a tela do aparelho e capturar toques, pressão, deslizar de dedos e até mesmo textos digitados no teclado do iOS. Essa tecnologia é capaz, inclusive, de capturar tela e enviar o conteúdo à desenvolvedora, que usaria tudo isso para saber o que funciona e o que não funciona dentro de seus apps.

Quem descobriu a existência desse espião dentro dos apps foi o blog The App Analyst, que há pouco tempo encontrou o Glassbox dentro do aplicativo da companhia aérea Air Canada. Como se a prática não fosse ruim o suficiente, a empresa não criptografa informações sensíveis das telas obtidas de seus clientes, o que pode ter contribuído para o vazamento de 20 mil perfis de usuários do app da empresa em agosto de 2018.

Informações

Em análise, o App Analyst descobriu que aplicativos como Air Canada, Hollister, Expedia, Hotels.com, Singapore Airlines e Abrecrombie & Fitch, monitoram a tela e enviam informações e nem todos ocultam dados sensíveis antes de transmitir a imagem.

Alguns dados foram ocultados antes de serem enviados, mas informações como endereço e email estavam visíveis em alguns deles. Contudo, é fato que nenhum dos aplicativos analisados pelo especialista citava o monitoramento em sua política de privacidade.

Empresas respondem
As únicas empresas que se manifestaram sobre o tema até agora foram a Abercrombie, Air Canada e a Glassbox.

A Abercrombie afirmou que o Glassbox “contribui para uma experiência de compra tranquila, nos permitindo identificar e direcionar qualquer problema que os consumidores possam encontrar em sua experiência digital”.

Já a Air Canada afirmou que “usa informações fornecidas pelos clientes para garantir a capacidade de oferecer suporte às suas necessidades e resolver qualquer problema que possa interferir na viagem”. A empresa confirmou que isso inclui dados coletados do aplicativo, mas garantiu que “não captura — nem é capaz de capturar — telas do telefone fora do app da Air Canada”.

A Glassbox afirmou que não força seus clientes a citarem a sua existência nas suas políticas de privacidade nem é capaz de obter dados e capturas de tela fora dos apps nos quais a sua tecnologia está presente.

Fonte: Tecmundo

Mais de uma dezena de apps com malware removidos da Play Store

A Play Store vem sofrendo para manter seu espaço limpo em 2018. Agora, segundo a ESET, a Google removeu 13 aplicativos falsos que se passavam por jogos na loja e repassavam malware para smartphones com Android.

Os apps pediam acesso completo ao celular para roubar dados pessoais do dispositivo

De acordo com pesquisador Lukas Stefanko, os 13 aplicativos foram instalados mais de 580 mil vezes em smartphones, além de dois deles estarem destacados como “tendência”. Ao baixar os apps, eles simplesmente não rodavam: eles pediam acesso completo ao celular para roubar dados pessoais do dispositivo.

Segundo Stefanko, todos os apps eram de um suposto desenvolvedor chamado “Luiz O Pinto”. Foi possível descobrir que o domínio do desenvolvedor espalhava malware e direcionava para uma pessoa em Istambul chamado Mert Ozek.

Só em 2017, a Google conseguiu remover cerca de 700 mil aplicativos maliciosos da Play Store. Esperamos que o número diminua em 2019: não por falta de cuidado na remoção, mas por cuidado extra na aprovação de entrada.

Fonte: Tecmundo

Seu smartphone pode estar sendo monitorado, e você nem desconfia

smartphoneQuem nunca ficou de saco cheio daqueles apps invasivos que gostam de ficar enviando notificações a toda hora ou se mesclam ao sistema de maneira inadequada? Aí é só desinstalar, de repente rodar um anti-malware e tudo certo, né? Bem, segundo uma reportagem da Bloomberg, as coisas não têm funcionado assim: alguns softwares estariam usando “notificações fantasmas” para continuar monitorando suas atividades, tanto no iOS quanto no Android.

Adjust, AppsFlyer, MoEngage, Localytics e CleverTap estão entre as empresas acusadas de oferecer os chamados “rastreadores de desinstalação”, um conjunto de ferramentas para desenvolvedores para rastrear quando um usuários remove o software do aparelho. Entre os clientes dessas companhias estão o T-Mobile US, Spotify Technology e Yelp.

Os “rastreadores de desinstalação” utilizam os sistemas silenciosos de notificação por push do Android e do iOS para verificar se um usuário deletou um aplicativo ou não. Se o “ping” não retorna aos programadores, isso quer dizer que o app não está mais lá e esses dados são vinculados à identificação de status de publicidade exclusivo do dispositivo. Isso permite às desenvolvedoras criar estratégias para tentar seduzir novamente esses consumidores com anúncios.

Empresas dizem que dados são usados para avaliar atualização e mudanças nos apps
Ao serem questionadas a respeito, os grupos envolvidos dizem que a prática é utilizada para avaliar informações sobre mudanças e atualizações de aplicativos. É possível até mesmo que essa ação venha sendo usada para corrigir bugs ou refinar o funcionamento dos softwares sem ter que incomodar os usuários com pesquisas ou coisas do tipo. Mas, ao que parece, não é o que vêm acontecendo.

Jude McColgan, CEO da Boston’s Localytics, afirma que não viu clientes usarem a tecnologia para segmentar ex-usuários com anúncios. Ehren Maedge, vice-presidente de marketing e vendas da MoEngage Inc., em São Francisco, “lavou as mãos” e avalia que cabe às desenvolvedoras dos aplicativos não adotar esses rastreadores de desinstalação.

“O diálogo é entre nossos clientes e seus usuários finais. Se violarem a confiança dos seus usuários, isso não funcionará bem para eles.” Adjust, AppsFlyer e CleverTap não responderam ao Bloomberg, nem à T-Mobile, Spotify ou Yelp.

Prática viola as regras da Google e da Apple

Alex Austin, CEO da Branch Metrics Inc., também cria ferramentas para desenvolvedores mas optou por não criar um rastreador de desinstalação. Segundo o executivo, usá-lo viola as políticas da Apple e da Google contra o uso de notificações push silenciosas para criar dados publicitários. “Em geral, é impreciso rastrear as pessoas pela Internet depois que elas optaram por não usar seu produto”, comenta, esperando que as gigantes reprimam essa prática em breve.

Para participar de uma experiência como essa, os usuários pelo menos devem concordar em compartilhar seus dados dessa forma, diz Jeremy Gillula, diretor de política de tecnologia da Electronic Frontier Foundation, um defensor da privacidade. “A maioria das empresas de tecnologia não está dando às pessoas opções de privacidade diferenciadas.”

A Apple e o Google ainda não se manifestaram a respeito desse assunto.

Fonte: Tecmundo

Apps com malware para Windows encontrados na Google Store

Pesquisadores da Palo Alto Networks descobriram cerca de 145 aplicativos maliciosos disponíveis na Google Play Store. Segundo a empresa, os apps possuíam malwares executáveis próprios para Microsoft Windows.

A Palo Alto notou que alguns dos apps foram baixados milhares de vezes e apresentavam uma classificação com mais de 4 estrelas. Vale notar que os apps, felizmente, não afetam os smartphones Android: o problema acontece quando o usuário pluga o Android no PC, com os arquivos maliciosos encontrando uma porta para o computador.

Entre os apps identificados, estão:

  • Men’s Design Ideas
  • Gymnastics Training Tutorial
  • Learn to Draw Clothing
  • Modification Trial

“Esses binários executáveis incorporados do Windows só podem ser executados em sistemas Windows: eles são inertes e ineficientes na plataforma Android. O fato de esses arquivos APK estarem infectados indica que os desenvolvedores estão criando o software em sistemas Windows comprometidos que estão infectados com malware”, comentou a Palo Alto.

Em tempo, os aplicativos citados já foram retirados da Google Play.

Fonte: Tecmundo

Avaliação dos principais apps de VPN

Levantamento da empresa de segurança AV Test analisou soluções como NordVPN, Avast SecureLine VPN, F-Secure FREEDOME VPN, Norton WiFi Privacy e Hotspot Shield.

Um novo estudo do instituto alemão de segurança em tecnologia AV Test testou 12 das principais soluções de VPN (rede virtual privada) disponíveis no mercado Entre outras coisas, a pesquisa, realizada no ultimo mês de abril, analisou as aplicações em diferentes situações para avaliar pontos como usabilidade, privacidade, desempenho e funcionalidade.

A lista de aplicativos testados inclui soluções como NordVPN, Avast SecureLine VPN, F-Secure FREEDOME VPN, Norton WiFi Privacy, Cisco AnyConnect Secure Mobility Client e Hotspot Shield – vale notar que a fabricante dessa última aplicação, a Anchorfree, comissionou o estudo.

Em usabilidade, por exemplo, são levados em conta fatores como a quantidade de passos necessários para diferentes processos, como configuração e conexão, além do número de idiomas suportados. “A configuração é bastante fácil para todos os produtos voltados para os consumidores”, afirma a AV no levantamento.

Em segurança, o teste analisou uma variedade de pontos, como vulnerabilidade para vazamentos e proteção contra URLs maliciosas. “O ranking para as primeiras colocações na lista é muito próximo para esse teste. Em termos de recursos e segurança fornecida, a lista se resume aos quatro produtos a seguir: ExpressVPN, F-Secure FREEDOME VPN, Hotspot Shield Elite e Private Internet Access”, destaca a AV Test na conclusão da seção de segurança e privacidade da pesquisa.

Compatibilidade

De acordo com a AV Test, todos os produtos testados no estudo oferecem suporte para as plataformas Windows, Android e iOS. Além disso, o macOS, da Apple, é compatível com todas as soluções da lista, com exceção do produto da Cisco.

Esse estudo pode ser acessado aqui.

Fonte: IDGNow!

Riscos: apps expõe senhas e informações bancárias de milhões de usuários

Um estudo feito por pesquisadores da Appthority, empresa de segurança mobile, apontou que milhões de senhas, localizações e informações financeiras de usuários foram expostas por inúmeros aplicativos.

A pesquisa escaneou uma infinidade de apps que usamos em nossos smartphones e encontrou as vulnerabilidades tanto no sistema Android quanto no iOS.

Foram analisados pela Appthority 2 7 milhões de apps. Os que contavam com dados de usuários expostos tinham serviços hospedados na Firebase, uma popular plataforma na nuvem que foi adquirida pelo Google em 2014.

Dos milhões de aplicativos checados, os pesquisadores encontraram 27.227 aplicativos Android e 1.275 apps do sistema iOS hospedando dados dos seus usuários na Firebase. Deste número, 3.046 aplicativos tinham os dados de usuários expostos para literalmente qualquer pessoa ver – 2.446 do Android e 600 do iOS.

Não são poucas as informações que estão abertas na plataforma. Foram achados pelos pesquisadores 2,6 milhões de logins e senhas de usuários, 25 milhões de localizações de GPS e 50 mil registros de transações financeiras dentro do aplicativo. Existem até quatro milhões de informações protegidas de saúde, como conversas privadas e prescrições médicas.

A pesquisa aponta ainda que os dados pessoais expostos não são protegidos por firewalls ou sistemas de autenticação. Para ter acesso à base de dados vulnerável, o hacker teria apenas que digitar um comando no fim do nome do aplicativo hospedado na Firebase.

No total, a vulnerabilidade envolve mais de 100 milhões de informações de usuários, em um total de 113 GB de dados expostos. Os aplicativos do Android afetados são bem populares: foram baixados mais de 620 milhões de vezes na loja do Google.

A empresa não revelou o nome dos aplicativos envolvidos, mas afirmou que são apps de várias categorias, entre elas mensagem, finanças, saúde e viagem. Os aplicativos são de várias partes do mundo.

Os pesquisadores afirmaram que avisaram o Google antes de divulgar o estudo. Eles ainda forneceram à empresa uma lista completa de aplicativos inseguros, além de entrarem em contato com os próprios apps.

Fonte: UOL