Segundo um estudo apresentado na PrivacyCon 2019, diversos aplicativos para Android têm acesso à dados do usuário mesmo que este não permita. Pesquisadores informaram que existe uma forma dos aplicativos "burlarem" o sistema Android e terem acesso aos dados, que podem incluir até a localização da pessoa. 

A situação funciona da seguinte forma: quando você dá acesso a um aplicativo específico e proíbe outro, eles podem trocar informações entre si. Claro, não são todos os apps que fazem isso, apenas aqueles construídos usando o mesmo kit de desenvolvimento de software (Software Development Kits, em inglês, ou SDK).

Alguns aplicativos para Android são acusados de acessar dados de usuários mesmo sem a permissão deles.
Alguns aplicativos para Android são acusados de acessar dados de usuários mesmo sem a permissão deles.

O estudo alega que dentre os aplicativos estão alguns da Samsung e até da Disney, que já foram baixados centenas de milhões de vezes. Eles usam o SDK da empresa de pesquisa chinesa Baidu feito em conjunto com uma firma de análise de dados chamada Salmonads.

Especificamente o app Shutterfly deve ser visto com atenção. Esse aplicativo de fotos foi flagrado mandando coordenadas de localização dos celulares para seu servidor sem a permissão do usuário, por meio da extração de metadada das especificações técnicas das fotos. O app negou as acusações. 

Aplicativo Shutterfly é um dos acusados por acessar dados da localização de usuários sem permissão.
Aplicativo Shutterfly é um dos acusados por acessar dados da localização de usuários sem permissão.

Os dados são primeiramente armazenados no celular, podendo ou ser compartilhado com outros apps ou ficando disponíveis no servidor - que por sua vez pode ser acessado pelos aplicativos não autorizados. A pesquisa alega que alguns aplicativos usam o SDK da Baidu propositalmente para acessarem dados proibidos sem serem identificados.

Além disso, os pesquisadores também encontraram uma série de vulnerabilidades no sistema, o que permitia o acesso a dados voltados principalmente para localização. 

Como o problema será resolvido

Segundo os especialistas, algumas correções serão desenvolvidas no Android Q - o que, por sua vez, complica a vida daquelas pessoas com aparelhos Android que não terão acesso ao novo sistema operacional. Isso fez com que eles, a Google, fosse cobrada de alguma atitude, como lançamentos de patchs de segurança.

A Google, por sua vez, se recusou a comentar o caso, se limitando a dizer ao portal The Verge que o Android Q vai impedir apps de fotos especificamente de acessarem a localização do usuário. Além disso, a empresa também disse que vai solicitar aos apps em questão que estes informem a Play Store caso sejam capazes de acessar dados como esses.

Fonte: the verge