2012/07/11

Quando o Malware é "Oficial"


Parece que foram descobertas mais algumas Apps com malware no Google Play, e que voltam a reacender a velha questão da "confiança". Estas Apps, fazendo-se passar por jogos bem conhecidos e apetecíveis (Super Mario Bros. e GTA), incluiam um bónus inesperado... o de fazer chamadas para números de valor acrescentado.

E agora?... Quem deverá ser culpado?

Será culpa do Google, que não conseguiu detectar a tempo estes malwares (que estiveram disponíveis por várias semanas, e que foram descarregados por  mais de 100,000 utilizadores);  ou terá sido culpa dos utilizadores por impacientemente e "cegamente" aceitarem todas as condições que surgem no ecrã - e que supostamente incluiriam nas permissões a informação de que iriam aceder a este tipo de serviços!

Uma App Store demasiado permissiva? Utilizadores demasiado inocentes para pensarem nas consequências dos seus actos?

Penso que é mesmo um problema que dificilmente poderá ser resolvido... mas que inevitavelmente passa pela educação dos utilizadores e por um sistema que permita uma maior celeridade de reacção por parte das "lojas".

Por muito controlada que uma App Store pretenda ser (mesmo que se fale da App Store da Apple), há sempre a possibilidade de uma App lá chegar carregada de "más intenções". A pseudo-segurança de atirar para o utilizador a responsabilidade daquilo que permite a App fazer também está demonstrada que não resulta. Confrontados com uma longa lista de permissões, é inevitável que a maioria dos utilizadores faça aquilo que faz nos "license agreements" de 40, 50 ou 100 páginas: next, next, next, sim, aceito tudo.

Mesmo que se quisesse dar destaque especial a funções mais "perigosas", como o enviar SMS ou fazer chamadas, isso facilmente poderia ser disfarçado, com uma App que efectivamente justificasse o acesso a tais funções. Daí que... até um utilizador mais atento pode perfeitamente ser enganado. (Mesmo aqueles que pensassassem que uma App com milhares de downloads seria garantia de uma App livre de problemas, como aqui ficou demonstrado).

Portanto... não há volta a dar: ter atenção ao que instalam. No caso de surgir de developers sem reputação, ter atenção redobrada. Reportar imediatamente actividades suspeitas. E... esperar que mais e melhores técnias de controlo e verificação automática consigam fazer com que estes casos sejam cada vez mais raros. Mas já se sabe que esta é uma autêntica guerra, onde há cada vez mais interessados em se infiltrarem no muito apetecível mercado das Apps mobile... e onde para cada nova técnica de protecção, irá haver também novas técnicas destinadas a ultrapassá-las.

3 comentários:

  1. Este comentário foi removido pelo autor.

    ResponderEliminar
  2. Uma feature base do Android podia muito bem ser a pré-validação antes de permitir o acesso ao Phoneboook, SMS, etc.

    Ou seja, toda e qualquer App teria que obter permissão de acesso a primeira vez que o tentasse fazer - e isso seria comportamento padrão. Desse modo, utilizadores menos atentos às permissões pré-instalação já não seriam surpreendidos com SMS e chamadas não desejadas! Afinal, porque motivo um jogo do Mario pediria permissões de acesso a SMS e chamadas?!

    cumps.

    ResponderEliminar
    Respostas
    1. Poderia ajudar... mas como disse, haveria sempre formas que os atacantes poderiam usar para continuar a enganar: quer fosse inventarem que usavam um SMS para validação de qualquer coisa, etc. Não é fácil arranjar uma solução perfeita... :)

      Eliminar