Apps para Android acessam e publicam fotos de usuários sem permissão

Os aplicativos para dispositivos com sistema operacional Android, da Google, têm acesso completo ao álbum de fotos dos usuários e não precisam pedir permissão para isso. E, se o software tiver acesso à internet, podem copiar as imagens para um servidor remoto sem nenhum aviso, segundo declarações de desenvolvedores e especialistas em segurança ao jornal The New York Times.

Para demonstrar a vulnerabilidade das imagens em dispositivos Android, Ralph Gotee, desenvolvedor e diretor de tecnologia de software da Loupe, testou um aplicativo básico de cronômetro. Durante o processo de instalação, uma notificação de que o app precisa se conectar à internet é exibida, mas nenhum aviso sobre fotos é dado. Ao iniciar o aplicativo, ele buscou a foto mais recente e a publicou em um site público de compartilhamento de imagens.

Ainda não está realmente claro quais apps disponíveis na Google Play estejam fazendo isso. Esse caso ilustra como é complicada a questão da segurança em dispositivos complexos com acesso à internet que rodam diversos aplicativos.

“Nós podemos confirmar que não há permissão especial requerida para um aplicativo tenha acesso às fotos”, disse Kevin Mahafey, diretor de tecnologia na empresa Lookout, que desenvolve softwares de segurança para o sistema Android, ao NYT. ”Isso é baseado nas conclusões da Lookout em todos os aparelhos que testamos".

“Os usuários geralmente pensam que existe algum cuidado quando essas plataformas são projetadas para que suas informações sejam manejadas de forma consistente”, declarou o especialista em segurança e privacidade Ashkan Soltani. “Mas cada vez mais isso parece ser uma suposição falsa”.

O guia de desenvolvedores de aplicativos para Android afirma que “um ponto central da arquitetura de segurança do Android é que nenhum aplicativo tenha, por padrão, acesso a quaisquer operações que adversamente impactem outras aplicações, o sistema operacional ou o usuário”. E o texto também adiciona “ler ou escrever dados pessoais do usuário”.

Somente nesta semana é a segunda vez que especialistas encontraram problemas graves de segurança no Android. No começo da semana, a MWR Security informou que aplicativos gratuitos para o sistema móvel enviam dados de usuários a agências de publicidade sem a permissão dos internautas.

A Google informou que o sistema de armazenamento de fotos funciona dessa forma porque a empresa não alterou as configurações de acesso de aplicativos depois que os smartphones evoluiaram para aparelhos com memória interna, em vez de usar cartões SD.

A gigante das buscas afirmou que reconhece o problema e que vai considerar mudar essa configuração do sistema.

[via IDG Now]