Google Play remove apps de Android com código ligado à espionagem dos EUA
Aplicativos coletavam dados em segundo plano sem o conhecimento dos usuários; código estava escondido em serviços de meteorologia, trânsito e mais
O Google retirou da Play Store dezenas de aplicativos após descobrir que eles coletavam dados sem o consentimento de usuários de Android. Os softwares com o código espião estavam distribuídos por diversas categorias, incluindo serviços de meteorologia, scanners de QR Code, mapas de radar rodoviário e até mesmo apps de oração.
Segundo uma reportagem do Wall Street Journal, pesquisadores que procuravam por vulnerabilidades no sistema operacional descobriram que quem está por trás do código desses aplicativos é a Measurement Systems. A empresa é supostamente ligada a uma terceirizada que presta serviços de inteligência cibernética para agências de segurança dos Estados Unidos.
O relatório indica que ao menos 60 milhões de smartphones com Android executaram o código silenciosamente. Aparentemente, a Measurement Systems pagou para que desenvolvedores implementassem o SDK responsável pela coleta de dados em seus apps.
Entre as informações obtidas dos usuários que instalavam os aplicativos comprometidos, estava a localização, e-mail e números de telefone. Os pesquisadores de segurança dizem ainda que o código também era capaz coletar dados sobre celulares e computadores próximos, o que permitia traçar uma rede de contato para cada usuário rastreado. Após a descoberta, o SDK parou de obter novas informações, conforme indica o WSJ.
Um negócio lucrativo para os desenvolvedores
A reportagem também afirma que a empresa responsável pelo código de espionagem usou uma terceira companhia, a Packet Forensis LLC, para negociar a troca de dados com o governo dos EUA.
Apesar de abrir margem para preocupação de cidadãos que utilizaram os aplicativos (ou estiveram próximos a alguém que tenha usado), a prática não chega a ser algo totalmente novo: agências de defesa norte-americanas já admitiram que compram dados de empresas como a Measurement Systems para analisar ameaças à segurança nacional.
Outro fator que chama a atenção é que o negócio pode ser extremamente lucrativo para os desenvolvedores que permitem esconder os códigos dentro de seus softwares. Além de receberem informações detalhadas sobre sua base de usuários, o valor arrecadado poderia chegar a US$ 10 mil por mês — até que os aplicativos fossem descobertos e derrubados da Play Store, é claro.
Apesar da penalização do Google, a empresa ainda permite o retorno dos aplicativos à loja do Android caso eles removam o código espião da Measurement Systems.
Do outro lado, a Measurement Systems nega que as informações sobre seu envolvimento com a implementação do código malicioso em apps da Play Store sejam verdadeiras. A empresa também disse ao WSJ que não tem relação com a Packet Forensics.
Com informações: Engadget
