10 Março 2017
Um aplicativo aparentemente inofensivo para melhorar selfies pode apresentar riscos para usuários de smartphone. O app Meitu, que tem como principal recurso transformar fotos em visual de animes japoneses, é acusado de violar a privacidade dos menos avisados, especialmente no Android.
O problema está na quantidade de permissões que o aplicativo pede na hora de ser instalado. Embora devesse pedir somente acesso à câmera e ao armazenamento do celular, o app solicita praticamente todas as permissões possíveis do Android. E o mais preocupante é que isso inclui o número identificador do aparelho.
Com esse número, o app pode rastrear qualquer celular no mundo para entregar anúncios. É algo que levanta a suspeita de que os criadores estejam enviando dados para redes online de publicidade como meio de expandir o faturamento. Há chances de que o app, aliás, tenha sido criado já com esse propósito em mente.
Os criadores chineses negam, e dizem que todos os dados coletados servem somente para "melhorar a experiência no aplicativo", e que mantêm tudo em sigilo. No entanto, especialistas em segurança identificaram linhas de código estranhas no app. Ao que parece, o editor de fotos pode estar enviando informações para diversos servidores desconhecidos na China.
O engenheiro e hacker whitehat Jonathan Zdziarski resumiu o que o app Meitu parece ser aos olhos de um especialista em segurança.
Summary: Meitu is a throw-together of multiple analytics and marketing/ad tracking packages, with something cute to get people to use it.
— Jonathan Zdziarski (@JZdziarski) 19 de janeiro de 2017
Resumo: o Meitu é um conjunto de pacotes de análise e marketing para rastreamento de anúncios, com algo bonitinho para fazer as pessoas usarem.
Por via das dúvidas, da próxima vez que você vir um editor de fotos engraçadinho com origem chinesa, é bom pensar duas vezes antes de instalar. O Meitu segue disponível para download na Play Store e App Store.
Em contato com o TudoCelular, a assessoria de imprensa do app Meitu se defendeu das acusações e disse que não comercializa os dados do usuário. Em nota, a empresa criadora do programa esclarece o motivo do pedido de cada permissão no Android e iOS e coloca parte da culpa nos bloqueios impostos pelo governo chinês.
Como a Meitu está sediada na China, muitos dos serviços fornecidos pelas lojas de aplicativos são bloqueados. Para contornar isso, a Meitu emprega uma combinação de sistemas de rastreamento de dados de terceiros e verifica se os dados do usuário rastreados são consistentes. No entanto, a empresa ressalta que não vende os dados dos usuários a terceiros
Segundo a empresa, as permissões são pedidas com os seguintes propósitos:
- Endereço MAC e IMEI: cruzar informações para identificar o ID do usuário na rede de anúncios
- Número do IP: prevenir fraudes
- Código de país do cartão SIM: localização primária do aparelho
- GPS e rede: detecção de local e região para distribuir anúncios dentro do app
- Operadora: dados para analytics
- Permissão "RUN_AT_START": serviço de push alternativo ao do Google, que é bloqueado na China
- Jailbreaking: verificação se iPhone é bloqueado, exigência do SDK do WeChat usado na plataforma do Meitu
- Servidores externos: envio de informações somente para a Meitu
Comentários