O Apklab.io analisou um app chamado "Coronavírus" que coleta informações sigilosas, incluindo a localização dos usuários
O pesquisador iraniano Nariman Gharib disse, via Twitter, ter identificado um aplicativo chamado Coronavirus, que estava coletando informações sigilosas dos seus usuários, incluindo a localização em tempo real, o que ia além das funções requeridas para o funcionamento do aplicativo.
Ele usou o apklab.io, nossa plataforma de inteligência contra ameaças para mobiles, para identificar a origem do aplicativo, assim como para analisar as informações que eram coletadas e enviadas para os servidores de seu desenvolvedor. De acordo com Gharib, o aplicativo foi lançado pelo Ministério da Saúde do Irã via SMS. A mensagem pedia que as pessoas instalassem o aplicativo e fizessem um teste para avaliar se tinham os sintomas da COVID-19. O Google já tomou providências* e retirou o aplicativo da Play Store por violação dos seus termos e condições.
Gharib postou uma mensagem em seu Twitter dizendo que um funcionário do Ministério da Saúde iraniano alertou que o aplicativo não tinha autorização do órgão, mas que teria sido desenvolvido pelo Ministério das Comunicações e Tecnologia. Gharib também afirma que o Ministério da Saúde havia publicado um esclarecimento no mesmo dia, declarando que “ninguém tem autorização para obter informações pessoais dos usuários”.
Mesmo assim, analisei o aplicativo e pude confirmar as descobertas de Gharib: de fato o aplicativo coleta informações além daquelas necessárias para o seu funcionamento. Primeiramente, o aplicativo pede que os usuários se registrem usando os números dos seus telefones. Ele também pede permissão para acessar a localização exata dos usuários, o que fazia sentido, já que isso poderia ser usado para recomendar o hospital mais próximo para o usuário caso ele tenha sido infectado pelo vírus. O aplicativo também pedia permissão para acessar a funcionalidade “reconhecimento de atividade”, que pode ser usada para revelar se o usuário do dispositivo está sentado, caminhando ou correndo. Trata-se de uma permissão tipicamente solicitada por aplicativos esportivos para rastrear atividades físicas.
Algumas pistas deixadas no código do aplicativo revelam que ele foi desenvolvido pela Talagram e Hotgram, ambas expulsas da Google Play Store* no ano passado. As duas empresas foram criadas pelo governo iraniano, que promoveu o uso de aplicativos de mensagem como uma alternativa ao Telegram, conhecido por sua potente criptografia e que tinha sido banido do país pelo governo local.
Além da localização precisa dos usuários, o aplicativo também envia aos desenvolvedores informações inseridas pelos usuários, incluindo número do celular, sexo, nome, altura e peso.
Precauções ao baixar um aplicativo
- Evite baixar aplicativos fora das lojas oficiais. O Google Play Store e a App Store da Apple são opções seguras, que verificam os aplicativos antes de permitir que sejam comercializados em suas lojas. Eles também checam se os produtos atendem a certas regras e às políticas de aplicativos para evitar que programas maliciosos e intrusivos se infiltrem em suas lojas.
- Confira cuidadosamente as permissões solicitadas pelo aplicativo. Você não daria seu número de telefone a qualquer um que encontrasse pela rua, assim como também não iria compartilhar sua localização exata com estranhos. A mesma coisa deve ser aplicada durante a concessão de permissões aos aplicativos que você instala em seu dispositivo. Considere se o aplicativo precisa de acesso a certas informações para o seu funcionamento correto. Um aplicativo de edição de fotos, por exemplo, precisa acessar seus arquivos de mídia, como suas fotografias, para que faça o que é esperado dele. Mas será que um aplicativo de avaliação de coronavírus precisa saber se você está sentado, caminhando ou correndo?
- Fique alerta a golpes. Sempre haverá bandidos querendo se aproveitar de tendências, quer elas sejam legais ou pavorosas, como a epidemia do coronavírus. Assim, é especialmente importante que os usuários tomem cuidado e prestem bastante atenção a e-mails, mensagens de texto e sites que dão conselhos referentes à COVID-19 para verificar se eles são confiáveis.
* Original em inglês.