Autorizações simplificadas do Google Play representam um risco

O Google implementou uma mudança na política de permissões dos apps baixados na Play Store. Não é algo novo (faz pelo menos um mês que li sobre), mas o assunto continua rendendo e sem solução.

A mudança reflete na tela de permissões que um app exibe antes de ser instalado. É mais estética do que útil, já que esconde o detalhamento de cada grupo de permissões por padrão e exige o toque em cada um deles para que seja expandido. Veja o antes e depois:

Permissões dos apps na Play Store.
À esquerda, como era antes. À direita, o novo sistema.

Outra novidade é que agora os apps podem criar permissões próprias. Elas aparecem sempre no final da lista em uma categoria chamada “Outras”. O app do Twitter, por exemplo, traz o “solicitar acesso a sua conta do Twitter”.

Uma última que pegou carona nessa maquiada é a que tem as implicações mais sérias. O Google divide as permissões em grupos e, dentro deles, estipula outras granulares. Antes, quando um app era atualizado e passava a precisar de novas permissões dentro de um grupo já garantido precisava ser reaprovado pelo usuário. Agora, é oito ou oitenta: após conceder permissão a um app ele poderá ser atualizado com novas “sub-permissões” dentro dos grupos já liberados sem que o usuário sequer fique sabendo.

O exemplo prático de Chris Hoffman é bem claro:

(…) um app que queira ler mensagens SMS recebidas precisa da permissão “Ler mensagens SMS”. Quando você for instalá-lo na Play Store, ele pedirá a permissão do grupo “SMS”.

Instale o app e você estará dando acesso a todas as permissões relacionadas a SMS. O app pode, agora, ser atualizado automaticamente e ganhar a capacidade de mandar mensagens SMS sem pedir a você.

Existem outros cenários tão ruins quanto, e esse específico das mensagens SMS (e a análoga a ligações) é facilmente explorável por scammers que disponibilizam jogos e apps fraudulentos para lucrarem com ligações na surdina, encaminhamento de chamadas e mensagens SMS, tudo às custas da vítima.

Até agora, um mês depois dos primeiros sites denunciarem esse problema, o Google não se pronunciou. O sistema de permissões dos apps no Android nunca foi exemplo de implementação e, como se não bastasse, piorou.

Deixe um comentário

Seu e-mail não será publicado. Dúvidas? Consulte a documentação dos comentários.

O site recebe uma comissão quando você clica nos links abaixo antes de fazer suas compras. Você não paga nada a mais por isso.

Nossas indicações literárias »

Manual do Usuário