Tags : Android apps seguros Segurança Mobile smartphone
Explicamos sobre os identificadores de dispositivos e anunciantes que espionam suas atividades pelos apps Android, e se é possível limitar esse monitoramento.
Já falamos anteriormente sobre os mecanismos de publicidade na Internet e os truques que as redes publicitárias utilizam para descobrir os sites que você visita. Mas dificilmente sua vida virtual vai consistir apenas em páginas de internet. É bem provável que você gaste um bom tempo em aplicativos móveis – e eles também ganham dinheiro com anúncios. Assim como os websites, trabalham juntos com as redes de anúncios.
Para que os anunciantes possam coletar um dossiê detalhado sobre suas atividades, permitindo que entreguem anúncios direcionados, os aplicativos móveis repassam informações sobre seu dispositivo – inclusive dados que o Google não permite que sejam usados para propaganda.
Que tipo de informação pode ajudar a rastrear seu dispositivo Android?
O que os aplicativos podem dizer a uma rede de publicidade sobre seu smartphone? Primeiro, estão instalados no dispositivo. A rede pode saber, a partir das informações de vários aplicativos, quais são seus interesses e quais anúncios têm mais probabilidade de atrair você. Por exemplo, se você tira muitas selfies e tem o Instagram e o Snapchat instalados, pode ter interesse por aplicativos que oferecem filtros e efeitos de imagem.
As redes de publicidade usam identificadores para garantir que conheçam o exato dispositivo que executa cada aplicativo. Todo smartphone ou tablet Android normalmente tem vários desses identificadores – e a maioria nunca teve a intenção de ajudar os anunciantes.
Assim, códigos IMEI ajudam a identificar telefones em redes celulares e podem, por exemplo, bloquear dispositivos roubados. Um número de série pode ajudar a encontrar todos os gadgets do mesmo lote com defeito para retirá-los e substituí-los nas lojas. Um endereço MAC – outro identificador único – permite a interconexão e, em particular, pode ser útil para restringir a lista de dispositivos que você permite que acessem seu Wi-Fi doméstico. Por fim, os desenvolvedores de aplicativos usam IDs de Android (SSAIDs) para gerenciar licenças de seus produtos.
Durante muito tempo não existiu nenhum identificador de publicidade separado para que os aplicativos pudessem compartilhar os IDs mencionados acima com seus parceiros. E os usuários basicamente não tinham como fugir de anúncios personalizados: IMEI ou MAC são códigos únicos que permitem a identificação imediata de qualquer dispositivo. Sempre que uma rede de publicidade recebe uma, a rede entende que o aplicativo foi instalado no seu telefone específico.
Teoricamente, esses códigos são modificáveis – também existem aplicativos para isso – mas fazer isso não é simples e, o que é pior, pode colocar seu telefone em risco. A questão é que você precisa do acesso root para experimentos desse tipo e esse processo torna seu dispositivo vulnerável. Além disso, certas manipulações como as do IMEI são ilegais em vários países
É mais fácil apenas mudar o ID Android: apenas resete seu celular ou tablet para as configurações de fábrica. Mas uma vez que você fizer isso, você terá que configurá-lo novamente, incluindo a reinstalação de todos os seus apps e o login em cada um deles. Em resumo, é uma grande dor de cabeça, então poucas pessoas estão dispostas a fazer isso com frequência.
Código de publicidade: a teoria
Em 2013, o Google lançou um código de publicidade, para firmar um compromisso entre os usuários e a indústria de anúncios. Os serviços da Google Play assinam o código, mas os usuários podem resetar e criar um novo se eles precisarem, acessando o menu “Configurações” → Google → Anúncios → Redefinir Código de Publicidade. Por outro lado, o identificador permite que as redes de publicidade rastreiem os hábitos e comportamentos dos usuários do dispositivo. Se não gosta da ideia deste monitoramento por parte de anunciantes, pode reiniciar o ID quando quiser.
As regras do Google Play definem que os anunciantes podem usar apenas o Código de Publicidade, e nenhum outro, para fins comerciais. A plataforma não proíbe vincular esse Código com outros identificadores, mas os apps precisam do consentimento do usuário para isso.
A expectativa era que, se você não se incomodasse com anúncios personalizados, você deixaria o Código de Publicidade como estivesse ou até poderia optar por permitir que os aplicativos se vinculassem com o que quisessem. Mas se você se importasse, seria possível proibir o vínculo deste Código com outros e reiniciá-lo de tempos em tempos, desconectando seu dispositivo dos dados conectados anteriormente. Contudo, a realidade não seguiu estas expectativas.
Código de Publicidade: a prática
De acordo com o pesquisador Serge Egelman, mais de 70% dos aplicativos na Google Play usam ao menos um identificador extra sem notificação. Alguns deles, como o 3D Bowling, o Clean Master e o CamScanner, foram baixados por milhões de pessoas.
A maioria deles usa IDs do Android, mas IMEIs, endereços MAC e números de série também são úteis. Alguns aplicativos enviam às redes parceiras três ou mais identificadores ao mesmo tempo. Por exemplo, o jogo 3D Bowling usa o Código de Publicidade, o IMEI e o ID Android.
Tais práticas tornam inútil a própria ideia do Código de Publicidade. Mesmo que a espionagem o incomode e você redefina seu ID, a rede de anunciantes usará os mais persistentes até que um novo ID esteja associado ao seu perfil.
Ainda que esse tipo de comportamento vá contra as normas do Google Play, não é fácil rastrear quais apps estão cometendo abusos. O Google checa todos os aplicativos antes de lançá-los, mas alguns desenvolvedores com segundas intenções descobriram métodos alternativos. Até os mineradores acharam uma forma de entrar na loja – inclusive não surpreende que apps que não apresentam funções maliciosas aparentes passem despercebidos.
O Google não pode apenas banir que os aplicativos acessem os identificadores dos dispositivos, pois são úteis para outras coisas além de publicidade. Por exemplo: ao negar o acesso de aplicativos móveis ao Android ID, o Google impedirá que os desenvolvedores de aplicativos protejam seus produtos contra cópias ilegais, violando seus direitos.
Lutando contra anúncios irritantes
Obviamente, o Google introduziu medidas para restringir o abuso de IDs. Portanto, a partir do Android versão Oreo, cada aplicativo terá seu próprio ID do Android. Para redes de anúncios que dependem desse ID em vez do Código de Publicidade, o Instagram do usuário parecerá estar em um dispositivo e o seu Snapchat em outro, e essas informações impedirão uma publicidade direcionada acurada.
No entanto, IMEIs, números de série e endereços MAC não podem receber essa proteção, e o mercado está cheio de smartphones e tablets que executam versões mais antigas do Android e nunca serão atualizados para o Android Oreo. Portanto, recomendamos restringir a coleta de dados por meio do gerenciamento de aplicativos.
▫ Exclua aplicativos não utilizados regularmente; quanto menos apps instalados, menos dados serão coletados pelas redes de publicidade.
▫ Não dê permissões desnecessárias aos aplicativos que você mantiver em seu dispositivo. Essa precaução não o livrará da espionagem completamente, mas pelo menos impedirá que os aplicativos ofereçam seu IMEI indiscriminadamente. Nesse caso, é a permissão do telefone que concede aos aplicativos o acesso ao IMEI. A mesma permissão possibilita que os aplicativos descubram seu número de telefone, visualizem seu histórico de chamadas, façam chamadas (por sua conta) e muito mais, por isso, não recomendamos.
Por Sergey Golubev, para o Kaspersky Daily
