É precisamente o que acontece: aplicativos para Android tem a capacidade de tirar fotos com o seu celular sem exibir nenhuma notificação, e nem aparecerá na lista de aplicativos instalados. Sem que o usuário perceba que foram tiradas, as fotos podem ser enviadas a Internet e assim encaminhadas a um servidor privado. Essa descoberta alarmante sobre spyware para Android foi publicada pelo investigador Simon Szydor no seu blog Snacks For Your Mind. No final desse post veremos como evitar esse inconveniente e manter a nossa privacidade.
Segundo Szydor, criador de um aplicativo para demonstrar a sua descoberta, já existem na loja virtual Google Play vários aplicativos que tiram fotos sem avisar o usuário, como ACLU-NJ Police Tape e Mobile Hidden Camera; algumas podem até filmar sem mostrar uma visualização prévia. Porém as mesmas requerem que as atividades realizadas pelas apps sejam visíveis e que a tela do telefone esteja ativa.
Depois de várias tentativas e mudanças nas configurações, o investigador percebeu que a visualização previa das fotos teria que ser de 1 pixel -y e portanto invisível para os usuários de smartphones com telas de alta definição, como o Nexus 5, conforme utilizado na demonstração abaixo. “O resultado foi assombroso e apavorante ao mesmo tempo: o pixel não pode ser identificado na tela do Nexus 5 (). Mesmo que o usuário desligue a tela completamente, ainda assim pode tirar fotos se o pixel for mantido”, escreveu Szydor. No vídeo abaixo podemos ver a demonstração:
[youtube width="623" height="432"]http://www.youtube.com/watch?v=sDzs6y4JVok[/youtube]
Além das informações já mencionadas, esse tipo de spyware tem a capacidade de enviar dados adicionais à Internet, como a geolocalização do dispositivo. São aplicativos espiões que colecionam informações relacionadas a hábitos de navegação, comportamento na web e/ou outros dados pessoais de utilização do sistema sem o consentimento do usuário. Os dados são então enviados ao atacante, como demonstrou Szydor nesse caso.
Então, o que fazer para não ser vítima desse malware? Primeiramente seria interessante ter em conta os 8 conselhos para determinar se um aplicativo Android é legítimo (WLS em Inglês). Logo, vejamos os seguintes conselhos básicos:
- Baixar aplicativos somente de lojas e fontes oficiais
- Ler e entender as permissões pedidas pelo aplicativo e avaliar se realmente são necessárias.
- Desinstalar aplicativos que não são usados
- Verificar os processos sendo executados em segundo plano
Dessa forma é possível estar mais seguro em relação ao download de aplicativos e evitar spyware.
Autor: Editor, ESET
Adaptação: Ilya Lopes, ESET