O que Google e WhatsApp podem fazer para evitar armadilhas como o Balloon Pop 2


11/12/13 às 21h32

Um jogo aparentemente inocente, chamado Balloon Pop 2, foi removido da Play Store pelo Google. Motivo? Ele copiava os históricos de conversas do WhatsApp para um site e permitia que qualquer um visualizasse esses arquivos mediante pagamento. De quem é a culpa?

Graham Cluley descobriu o problema e o divulgou em seu blog pessoal. Só que o “problema”, na visão dos criadores do joguinho, não existe. Tanto que a página do site para onde as conversas são copiadas, o WhatsappCopy, anuncia o Balloon Pop 2 explicitamente como o meio de copiar as conversas para lá.

O Balloon Pop 2 sumiu do Google Play, mas ainda é possível baixá-lo.

Entendo que encarar uma barra de progresso por alguns minutos seja tedioso. A Microsoft, nos primórdios do SkyDrive, oferecia uma bola de praia manipulável com o mouse para que aqueles minutos de upload fossem mais divertidos. Situações diferentes, óbvio, e a do Balloon Pop 2 é, para dizer o mínimo, insustentável.

O jogo não avisa que as conversas estão sendo copiadas. Não avisa sequer que tem alguma relação com o WhatsApp. Segundo Cluley, o Balloon Pop 2 não informa em momento algum, nem na página do Google Play, ter essa funcionalidade de “backup”. O WhatsappCopy diz que se trata disso, de uma ferramenta de backup; na prática, parece uma forma maldosa de conseguir históricos sem que os usuários saibam e, com a posse deles, extorqui-los.

Screenshots do Balloon Pop 2.
Imagem: Graham Cluley.

O Google faz o que pode para protegê-lo de apps como o Balloon pop 2

O Balloon Pop 2 já foi removido do Google Play. O Google tem um arsenal de tecnologias preemptivas com o objetivo de coibir apps maliciosos. Como esse caso exemplifica, ele nem sempre funciona.

Ainda assim, a incidência de código malicioso, considerando o mar de apps existente no Google Play, é pequena. Tanto que uma das boas práticas de segurança no sistema consiste em ficar na loja oficial na hora de baixar novos apps.

De todo modo, é sempre bom desconfiar de apps muito novos, ainda sem avaliações, de desenvolvedores desconhecidos. Embora exista, a triagem do Google Play fica atrás da que Apple, Microsoft e BlackBerry fazem em suas lojas. Há vantagens e desvantagens nessa abordagem mais aberta do Google — uma das desvantagens, você deve ter adivinhado, é a probabilidade maior de furos como esse ocorrerem, além daqueles apps quem parecem mas não são grandes sucessos, como os clones de Angry Birds e Instagram que fazem sabe-se lá o quê.

O Android 4.2 bloqueia apps maliciosos.Ainda que o Google Play fosse imune a apps com segundas intenções, o Android permite a instalação por fora, o “sideloading” de apps. O WhatsappCopy oferece link direto para o APK (instalador) do Balloon Pop 2. Uma indicação para a vítima, e o estrago está feito. Ou estaria, já que a verificação de apps perigosos, presente no Android 4.2 e mais recentes, felizmente já consegue impedir a instalação do jogo.

(A minha intenção era testar o Balloon Pop 2 em um smartphone que não tem, e nem terá antes de um wipe total, o WhatsApp. Parei na tela ao lado porque o app pede acesso a todas as contas cadastradas no Android, o que nesse aparelho em questão inclui Google, Facebook e Twitter. Melhor não arriscar, né?)

O WhatsApp também precisa melhorar

Nada disso aconteceria se o WhatsApp criptografasse direito as mensagens. Até 2011, as conversas eram salvas em texto puro! Ninguém sabe qual padrão de criptografia o serviço usa atualmente, mas há acusações de que sejam protocolos fracos e casos como o do Balloon Pop 2 atestam que, qualquer que seja a técnica usada, ela não é muito eficaz.

O WhatsApp sempre foi um app muito frágil no que diz respeito à segurança. Vineet Bhatia escreveu em maio uma compilação de tropeços do serviço na tentativa de reforçar a privacidade dos usuários. Não mudou muita coisa até hoje, ele continua facilmente hackeável, perigosamente inseguro.

Hemlis, o app de mensagens focado em privacidade.
Foto: Hemlis/Reprodução.

Da popularidade aliada à fragilidade do WhatsApp, alternativas têm surgido. A mais promissora é o Hemlis, “segredo” em sueco. Idealizado por Peter Sunde, co-fundador do The Pirate Bay, o Hemlis tem foco total em privacidade. O projeto foi financiado via Kickstarter e terá apps para Android e iPhone.

A menos que você negocie produtos ilícitos, seja um agente secreto ou leve a sua privacidade muito, mas muito a sério, não há motivo para pânico, nem para abandonar o WhatsApp. Apesar de frágil, é preciso algum conhecimento e muita dedicação para ter acesso a conversas de terceiros. Preocupe-se, e muito, com quem tem lábia boa. Não é de hoje que a engenharia social é a técnica mais bem sucedida no intento de obter informações privadas.

Cadê os anúncios?

O Manual do Usuário é um projeto independente, que se propõe crítico e que respeita a sua privacidade — não há scripts de monitoramento ou publicidade programática neste site. Tudo isso sem fechar o conteúdo para pagantes. Essas características são vitais para o bom jornalismo que se tenta fazer aqui.

A viabilidade do negócio depende de algumas frentes de receita, todas calcadas na transparência e no respeito absoluto a você, leitor(a). A mais importante é a do financiamento coletivo, em que leitores interessados sustentam diretamente a operação. A assinatura custa a partir de R$ 5 por mês — ou R$ 9/mês para receber recompensas exclusivas:

Assine no Catarse

Newsletter

Toda sexta-feira, um resumo do noticiário de tecnologia, indicações de leitura e curiosidades direto no seu e-mail, grátis:


Nas redes sociais, notícias o dia todo:
Twitter // Telegram

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

2 comentários

  1. Pingback: cat 4 brother
  2. Lembro como se fosse ontem quando e como eu usava “enganharia social” aos 10~13 anos de idade para pegar senhas de sites, blogs, msn de colegas e até mesmo professores. Realmente muito, muito fácil.

    De fato a segurança em mensageiros é algo muito aquém no mundo mobile. Na verdade deixa a desejar até mesmo no desktop, e quando existe muitas vezes é complicada demais para usuários comuns, principalmente esses que caem em qualquer falcatrua de “engenharia social”. Lembro-me uma certa vez que comecei a trocar mensagens e emails criptografados pelo gtalk e gmail com ajuda de alguns aplicativos, mas apenas eu e um amigo (que na época fazia eng. de computação) usávamos. Ou seja, era quase inútil, tendo em vista que morávamos no mesmo teto.

    Mas em questão de apps de mensagens, não conhecia a empreitada do Hemlis. Conheço o app que o BitTorrent está desenvolvendo, também de conversa criptografada e com base no protocolo bitTorrent : http://labs.bittorrent.com/experiments/bittorrent-chat.html porém ainda está em alpha privativo.

    Em tempo… um comentário da legibilidade do site. O manual do usuário é um dos pouquíssimos sites que leio que não preciso ativar o Clearly no navegador para dar reflow no texto. Parabéns! Aliás, se a letra fosse dois eu três pontos maior não seria nada ruim (não, eu não sou míope ou coisa parecida).