Dicas

Como gerenciar permissões de apps no Android

Jas Dhaliwal, 18 Outubro 2018

O Guia da Avast para Apps Android Parte 4 explica tudo que você precisa saber sobre permissões.

No grande esquema da segurança, as permissões de apps são geralmente tratadas como sendo menos importantes. Afinal de contas, quem nunca sentiu aquela impaciência ao ter que passar por todas aquelas perguntas de “sim ou não” quando tudo que quer é começar a usar aquele novo app legal? De fato, muitos de nós pulamos totalmente a leitura da página de permissões ao instalar o app, mas veremos que fazer isso pode ser um erro (muito) caro.

Embora seja importante dedicar um tempo para saber se um app é ou não seguro para ser instalado, compreender como as permissões de apps funcionam também ajudará a contornar muitas das ameaças que estão por aí. Vamos começar.

Permissões normais x perigosas

Algumas permissões são mais arriscadas que outras. Algumas delas, como acessar a internet, interromper processos em segundo plano e reorganizar tarefas são classificadas como “normais”, pois não representam uma ameaça ao usuário. Outras, como acessar a agenda ou os contatos, gravar áudio, usar sensores corporais e ler armazenamento externo são consideradas permissões “perigosas”. Confira a lista completa das permissões do Android.

Embora os usuários do Android 6.0 e posteriores possam decidir quais permissões conceder a um app depois de ele ser instalado, aqueles que usam sistemas operacionais anteriores precisam usar uma abordagem do tipo “tudo ou nada”. Em outras palavras, eles precisam concordar em permitir que um app acesse todas as outras permissões que ele solicita, ou não poderão instalá-lo. Os cibercriminosos costumavam conseguir contornar permissões criando apps que exigiam níveis de download nessas APIs mais antigas.

Essa brecha foi fechada e a Google agora exige que os apps estejam em conformidade com o Android 8.0 ou posterior, desde 1º de agosto de 2018. As atualizações de app serão obrigadas também a fazer o mesmo, a partir de 1º de novembro de 2018.

Guia da Avast para Apps Android

Parte 1: Como saber se a instalação de um app para Android é segura
Parte 2: Como detectar e remover um vírus do seu telefone Android
Parte 3: Por que meu telefone Android está esquentando?

Entendendo as permissões perigosas

Como você concede permissões para um app antes da instalação, é melhor saber quais permissões afetam sua privacidade. As permissões perigosas são categorizadas em nove grupos. Quando você concede ou nega uma permissão de grupo, sua ação abrange todas as permissões dentro desse grupo. Os nove grupos são os seguintes:

  1. Body%20Sensors_800x-100%20copySensores corporais – Essas permissões estão relacionadas a monitores de frequência cardíaca, monitores de fitness, etc. Embora elas permitam que os dispositivos de fitness monitorem sua saúde, um app maligno poderia registrar as mesmas informações do seu dispositivo e enviá-las ao seu servidor de comando e controle (C&C).

  2. Calendar2@800x-100Agenda – Elas permitem que apps leiam, editem, criem e excluam eventos da agenda. As permissões de agenda são usadas por apps de redes sociais e são muito úteis para gerenciar compromissos. Mas elas abrem as portas para muitas informações pessoais que você não quer que caiam em mãos erradas.

  3. cameraCâmera – Elas permitem que apps tirem fotos e registrem áudio e vídeo. Só a ideia de que um app maligno poder enviar fotos do seu dispositivo a um cibercriminoso é de arrepiar.

  4. Contacts@800x-100Contatos – Esse conjunto de permissões dá aos apps o poder de criar, editar, armazenar e excluir contatos em seu telefone. Apps malignos podem tentar coletar números de telefone e emails dos seus contatos, o que poderia ser usado para torná-los alvos de golpes de phishing ou outros ataques.

  5. Locations@800x-100Localização – Essas permissões gerenciam o GPS e hotspots Wi-Fi de um telefone. Se forem usadas indevidamente, elas podem informar o cibercriminoso sobre a sua localização e acompanhar a sua movimentação o tempo todo.

  6. Microphone@800x-100Microfone – Elas permitem que um app use o microfone do dispositivo para gravar áudio. Se alguma pessoa mal intencionada se conectar, ela poderá ativar o microfone mesmo quando você não estiver usando, gravar áudio e enviá-lo aos seus criadores.

  7. Phone@800x-100Telefone – Esse conjunto de permissões deixa que o app acesse o número de telefone, as informações da sua rede de telefonia celular, status de chamada, correio de voz, VoIP, leitura e edição de logs de chamada e até mesmo redirecione ligações a outro número. Se um malware receber essa permissão, poderia espionar o comportamento do seu uso do telefone e até mesmo fazer ligações sem a sua aprovação.

  8. SMS@800x-100SMS – Elas permitem que um app leia, receba e envie SMS, além de receber mensagens de WAP e MMS. Apps malignos são conhecidos não só por espionar mensagens existentes, como também usar seu telefone para enviar spam e inscrever o seu telefone em serviços pagos indesejados.

  9. Storage@800x-100Armazenamento – Elas gerenciam o armazenamento interno e externo do dispositivo. Malwares com essa permissão podem ler, escrever e editar documentos, fotos, música e outros arquivos em seu telefone.

Privilégios administrativos e root

Além das permissões comuns que você pode encontrar, há dois níveis mais profundos para compreender.

Privilégios de administrador de dispositivo

Eles permitem que você ou um app faça alterações em um dispositivo no nível do sistema. Isso inclui editar uma senha, bloquear o telefone e até mesmo apagar todos os dados dele. O privilégio de administrador é usado por apps de segurança, como o Avast Mobile Security para Android para bloquear e apagar remotamente o seu dispositivo, caso ele seja roubado. Claro, se um app maligno obtiver o mesmo privilégio, ele poderá comprometer completamente o seu telefone.

Privilégios de dispositivo root

É o nível mais alto de privilégios conhecido no Android. Os privilégios root dão ao usuário o acesso aos recursos mais básicos do dispositivo e quem os consegue pode fazer tudo que quiser. Embora estejam desativados como padrão, sabe-se que os cibercriminosos encontram uma maneira de chegar a eles. Por exemplo, um jogo de quebra-cabeça “Colorblock”, encontrado no Google Play Store, era um cavalo de Troia para rotear o dispositivo.

Como verificar a solicitação de permissão de um app

Embora o Android exiba as permissões exigidas antes de instalar um app, há outras maneiras de descobrir isso.

Como ver as permissões do app antes da instalação

Primeiro, a página de cada app no Play Store tem uma lista de permissões exigidas. Role para baixo em Informações do desenvolvedor e toque em Detalhes de permissões para ver quais permissões o app exige.

review-app-permissions-before-installing

Como gerenciar as permissões de apps depois da instalação

Como dissemos antes, agora você pode ver e gerenciar a permissão de um app após a instalação no Android. Acesse Configurações > Apps > Apps baixados > [o app que você quer verificar] > Permissões Você pode ativar ou desativar manualmente uma permissão aqui.

review-app-permissions-on-android

Como gerenciar vários apps que usam as mesmas permissões

O Android tem uma tela específica para cada permissão, que permite verificar quais apps usam as mesmas permissões. Acesse Configurações > Apps > [ícone de engrenagem no topo] > Permissões de aplicativos.

multiple-apps-with-same-permissions

Qual é o motivo de conceder duas permissões durante a instalação?

Frequentemente durante a instalação de um app, você verá a mesma solicitação de permissão duas vezes. A primeira é o app informando que ele precisa dessa permissão, enquanto que a segunda vem do Android, solicitando que você forneça a permissão. Apenas se você permitir a segunda, o app ganhará acesso a ela.

Leve a sério as permissões

Há dois componentes para segurança: o técnico e o humano. O componente técnico corresponde aos seus softwares de segurança cibernética automatizados: seu antivírus, firewalls, etc. Eles protegem seu dispositivo ao identificar malwares e bloqueá-los.

O componente humano é de responsabilidade total do usuário. Como usuário do smartphone, depende de você supervisionar o poder que você concede a outros apps e softwares. Tenha cuidado. Seja vigilante com suas permissões.

Se você conceder permissões ao malware para acessar seu dispositivo, as medidas de segurança não poderão fazer muita coisa para impedir o desastre. Em última análise, está em suas mãos.

Leia sempre as permissões que você está prestes a conceder. À primeira vista, parece uma chateação, mas elas informam tudo que é necessário saber para garantir que seu dispositivo fique seguro.