Topo

Celular baratinho mostra como privacidade é um luxo de quem paga mais

Caso de celular filipino alerta para os riscos de celulares com preços baixíssimos - Estúdio Rebimboca/UOL
Caso de celular filipino alerta para os riscos de celulares com preços baixíssimos Imagem: Estúdio Rebimboca/UOL

Rodrigo Trindade

De Tilt, em São Paulo

10/10/2019 04h00

Sem tempo, irmão

  • Privacy International denunciou celular de menos de US$ 20 que violava privacidade
  • Fabricantes que vendem aparelhos muito baratos buscam lucros por outros meios
  • Aplicativos pré-instalados trazem riscos de segurança, violam privacidade e são intrusivos

Quando você compra aquele celular baratinho, pode pensar nele como um ótimo negócio. Uma pesquisa da organização Privacy International mostra o outro lado da moeda dessa economia. Assim como nos serviços "gratuitos" que a internet nos oferece —Google, Facebook, Instagram, Twitter—, smartphones mais econômicos podem se pagar obtendo informações sobre você.

Em um artigo publicado no final de setembro, a organização narra a experiência de 2018 de uma funcionária de Manila, nas Filipinas, e reparou que seu celular tinha parado de funcionar. Para avisar familiares que tinha chegado, ela desembolsou menos de US$ 20 em um MYA 2, smartphone da MyPhone (uma marca local).

"Há um ditado que diz 'você recebe pelo que paga' e, quando você pensa quanto os smartphones custam normalmente, geralmente centenas de dólares, as pessoas devem suspeitar quando um celular é vendido por apenas US$ 17", comentou Nikolaos Chrysaidos, chefe de ameaças móveis e segurança da Avast.

É via celulares como MYA 2, não dos badalados iPhones e Galaxy Notes, que partes marginalizadas da população mundial se conectam à internet pela primeira vez. O preço desses aparelhos por um lado leva à inclusão digital, mas a Privacy International identificou riscos para seus compradores.

O perigo de um celular superbarato

O primeiro deles é que os aparelhos vêm instalados com versões muito antigas do sistema operacional Android. No caso do MYA 2, isso significava a edição 6.0, lançada em 2015 e defasada em termos de segurança.

As fabricantes dos smartphones costumam garantir anos de atualizações de segurança a seus aparelhos mais antigos, mas este já vinha completamente atrasado direto da caixa —e vulnerável a falhas de software corrigidas posteriormente.

Além do sistema ultrapassado, o MYA 2 vinha com aplicativos pré-instalados e que o usuário não consegue removê-los. É uma prática comum por conta de negociações com as desenvolvedoras dos apps com as fabricantes de celulares. Mas neste caso, a segurança foi comprometida.

Entre os apps que vinham no celular filipino estavam o MyPhoneRegistration (para registro do aparelho com a fabricante), Pinoy (consumo de conteúdo), Brown Portal (navegador) e o Facebook Lite. Os três primeiros aplicativos não estão disponíveis na Play Store, então não recebem atualizações. Além de acessar telefone, contatos, armazenamento (fotos, arquivos), localização, mandar e visualizar mensagens, os apps não podem ser deletados.

A cereja no bolo: os três apresentam falhas de segurança ao se conectarem aos servidores, deixando expostos sem criptografia dados como nome, gênero, aniversário e IMEI (número de identidade do aparelho) em qualquer rede wi-fi.

O Facebook Lite, por sua vez, não pode ser desinstalado completamente do celular. Assim como ocorre em diversos aparelhos que vêm com a versão normal do Facebook, ele pode apenas ser "desativado". Uma vez acionado, ele ganha a permissão para acessar calendário, câmera, contatos, localização, microfone, fone, mensagens e armazenamento.

Como explica Emilio Simoni, diretor do dfndr lab, laboratório de segurança digital da Psafe, essas autorizações são padrão e devem respeitar as mesmas regras do aplicativo normal.

"As versões Lite de apps são feitas para rodar em celulares com menos recursos, encapsulando o app via navegador. Pelos termos de uso, normalmente podem saber tudo que o app completo sabe", diz Simoni.

A pré-instalação, no entanto, pode ser um problema. Como observa o diretor do dfndr lab, a teoria é que esses apps não iniciem monitoramento de dados dos celulares sem uma autorização do usuário, mas nem sempre é o que acontece.

"Existe o que é recomendado pelo Google, mas muitas vezes isso não é seguido", lembra Simoni, que ainda conta que a Psafe recebeu relatos de que as regras do Android não foram seguidas por todos.

Anúncios não desejados

A Avast, por sua vez, identificou em 2018 um programa malicioso chamado Cosiloon que veio pré-instalado em centenas de dispositivos Android, inclusive de fabricantes como a chinesa ZTE e da francesa Archos.

Esses dispositivos não eram certificados pelo Google e realizavam uma ação invasiva na experiência do usuário: sobrepunham o navegador com um anúncio.

"O adware (programa que veicula anúncios) estava ativo havia pelo menos três anos antes de nossa descoberta e é de difícil remoção, já que está instalado a nível do sistema e é fortemente escondido", relatou Chrysaidos. Segundo ele, milhares de pessoas foram afetadas em mais de 100 países. Em um mês, a Avast detectou 18 mil aparelhos afetados pelo Cosiloon.

O Google foi alertado pela empresa de segurança e atualizou o serviço de proteção Play Protect para futuros aplicativos desse tipo. Ainda assim, por estarem instalados a nível de sistema, o Google acionou os próprios desenvolvedores para conscientizá-los e incentivá-los não adotar práticas como essas.

Todo baratinho é assim?

O caso investigado pela Privacy International levanta uma pergunta: todo celular barato "se paga" se alimentando nas suas informações? Segundo Simoni, isso não é um padrão do mercado, porém se o preço é muito baixo, a fabricante deve estar tirando seu lucro de outro lugar que não o preço da venda.

"Empresas que vendem smartphones por um preço tão baixo precisam compensar de outras maneiras, então os resultados da análise não são surpreendentes", completa Chrysaidos.

A pré-instalação desses aplicativos terceiros como se fossem parte do sistema é uma maneira de diminuir o custo para o comprador, uma espécie de publicidade na venda de apps. Se estes respeitarem sua privacidade e não violarem legislações locais, não há problemas com a prática.

Mas também há como evitar com antecedência as dores de cabeça causadas por esses aplicativos. A primeira orientação —óbvia— é pesquisar se o celular que você está pensando em comprar tem problemas de segurança conhecidos. Além disso, é fundamental saber se o aparelho em questão possui a versão mais recente do sistema operacional.

"Usar um sistema operacional ultrapassado deixa o usuário vulnerável a falhas de segurança que podem ser exploradas por cibercriminosos", concluiu Chrysaidos.

SIGA TILT NAS REDES SOCIAIS

Mais Segurança