Assim como já falamos do caso do FaceApp, as ferramentas para dispositivos móveis muitas vezes praticam ações com nossos dados que acabam por passar despercebidas. Nesta semana, a Avast revelou que aplicativos de lanterna para Android podem solicitar até 77 permissões ao usuário, as quais seriam nocivas ao celular. A lista inclui apps com milhões de downloads.

A coluna Detetive TudoCelular vai explicar algumas das principais permissões solicitadas e como elas podem comprometer a segurança de quem as cede. Confira a seguir:

Presente em 282 aplicativos de lanterna, a permissão KILL_BACKGROUND_PROCESSES fica em segundo lugar no ranking das mais requisitadas e pode ser a mais perigosa da lista.

Isso porque ela dá a autorização ao app para forçar o fechamento de processos que funcionam em segundo plano. Na prática, uma simples ferramenta para iluminação conseguiria, por exemplo, fechar sua solução antivírus.

Sem saber, você pode ficar desprotegido de alguma ameaça enquanto pensa que o programa de segurança está rodando de fundo. Essa opção, aliada a outras, permitem a inserção de arquivos maliciosos no aparelho. Principalmente por meio de outra permissão: DOWNLOAD_WITHOUT_NOTIFICATION, a qual foi vista em 24 apps e pode facilitar que vírus sejam baixados sem você perceber.

Aparentemente inofensivos, os aplicativos descobertos também podem roubar senhas dos usuários e acessar suas contas, por meio de duas permissões específicas: GET_ ACCOUNTS e AUTHENTICATE_ACCOUNTS.

Enquanto a primeira – vista em 100 apps – abre a possibilidade de capturar as suas contas cadastradas no smartphone, a segunda – localizada em 59 aplicativos – entrega a chance de logar nos seus acessos.

A presença dessas permissões dá a ferramenta uma oportunidade de roubar as suas senhas e as utilizar para entrar nos serviços que usa.

Uma série de outras permissões permite ao aplicativo de lanterna – ou qualquer outro que tenha essa possibilidade – ficar por dentro de toda a rotina do usuário, desde suas ações virtuais até onde ele está.

Com o ACCESS_FINE_LOCATION (131 apps), a ferramenta pode ter acesso à sua localização. Já por meio de READ_CONTACTS e WRITE_CONTACTS, é possível ver sua lista de contatos e inserir um novo na relação, ou mesmo editar algum já existente para um número desconhecido.

Nem as ligações estão seguras. Autorizações presentes na lista, como CALL_PHONE (155 apps), ANSWER_PHONE CALLS (63), PROCESS_OUTOING_CALLS (98) e PROCESS_INCOMING_CALLS (8), conseguem fazer e atender chamadas por você, além de controlar todo o processo para receber e efetuar as ligações, de forma a redirecionar para qualquer destino suspeito – além de gravá-las com RECORD_AUDIO (77 apps).

Para completar, poderão aparecer mensagens de texto com armadilhas ao usuário, uma vez que 82 aplicativos tinham permissão para receber os torpedos – RECEIVE_SMS.

A mais óbvia das prevenções consiste em não checar as permissões de um aplicativo suspeito ou desconhecido antes de instalar – ou não fazer o download. No entanto, o usuário pode já ter algum app já inserido no dispositivo que pode ter mais permissões do que deveria.

Em versões mais recentes do Android, é possível encontrar uma opção nas configurações dos aplicativos para acessar as permissões que cada aplicativo possui. Por meio de uma chave deslizante, o usuário consegue remover a permissão de cada ferramenta para funções específicas, como você pode ver nas capturas a seguir (os exemplos mostrados estão devidamente autorizados e não possuem qualquer suspeita por parte do dono do celular):

É importante destacar que, apesar de a descoberta ter sido feita com aplicativos de lanterna, qualquer outro aplicativo que pareça “inofensivo” pode ter permissões a mais do que o necessário. Portanto, os cuidados devem ser tomados com todas as aplicações.

Você já descobriu problemas com permissões em algum aplicativo? Relate a sua história no espaço abaixo.