O alarme gerado pela aplicação FaceApp nos últimos meses pode ter colocado em alerta muitos utilizadores do sistema operativo Android, confrontados com a possibilidade das apps poderem estar a recolher dados para fins maliciosos. Apesar de considerar que este não era o caso, e que app Russa não parece ter más intenções, Luis Corrons, um evangelizador da Avast Security, decidiu lançar luz sobre um outro problema: as aplicações de lanterna para Android.

Segundo uma publicação do investigador, a maioria destas aplicações exige um número absurdo de permissões de acesso a funcionalidades do smartphone, desde a possibilidade de consultar contactos, editá-los, mudar permissões do Bluetooth, processar chamadas, enviar SMS e gravar áudio. Em média, nas 937 apps analisadas, são pedidas 25 autorizações antes da instalação da aplicação. As mais "exigentes" pedem até 77 autorizações de acesso.

Apesar de o Android trazer já pré instalada uma aplicação de lanterna, que pode ser ativada pelos utilizadores ligando o flash do telefone, esta parece ser uma categoria muito popular. E permissiva a intenções menos claras. Das 937 apps identificadas, sete foram referidas como maliciosas, enquanto as outras foram consideradas excessivamente invasivas.

Luis Corrons refere que, na verdade, uma aplicação de lanterna precisa de muito poucas coisas para funcionar e que isso torna ainda mais estranho as exigências. Quase metade das aplicações de lanternas só pedem cerca de 10 permissões, mas da lista identificada pelo investigador da Avast, 262 querem acesso a mais de 50 funções do smartphone. E a Ultra Color Flashlight e a  Super Bright Flashlight são as recordistas, pedindo acesso a 77 funções.

Análise a apps de lanternas - Avast

Num post no blog da Avast, o investigador lembra que algumas das permissões pedidas, como KILL_BACKGROUND_PROCESSES, são muito poderosas e podem ser usadas para intenções mais maléficas, como desligar as aplicações de segurança que filtram o tráfego ou os acessos de malware. Mas também podem ser usadas para reduzir o consumo de bateria e fazer com que a app possa ser usada durante mais tempo.

Em alguns casos o pedido de acesso a permissões do smartphone pode ser feito para partilha de dados com outros parceiros que vão usar a informação para vender, sobretudo dados de utilização e contactos.

Luis Corrons lembra que verificar as permissões das apps antes de as instalar é uma medida recomendável. E que se os utilizadores não se sentem confortáveis com as exigências não devem fazer a instalação das apps.

Devem ser ainda verificadas as políticas de privacidade que dão uma visão sobre a forma como os dados vão ser utilizados mas que a maioria dos utilizadores não lêem, ou que se tornam quase inúteis por não serem claras e remeterem para documentos de outros parceiros, tornando a sua avaliação muito difícil e complexa.

"Há uma grande zona cinzenta quanto a apps como estas, e por isso não as marcamos todas como maliciosas. Apesar de pedirem um número absurdo de permissões, não levam a cabo ações maliciosas e estão a pedir autorização aos utilizadores", refere. Mais ainda assim, Luis Corrons afirma que isso não significa que sejam totalmente inocentes ou que outros parceiros não estejam a recolher dados.