A Symantec descobriu esta semana que o aplicativo oficial do Facebook para Android coleta o número do telefone do aparelho assim que ele é executado e o envia para os servidores do Facebook. Como este processo não requer login, o usuário fica impossibilitado de consentir ou não o envio.

Segundo a Symantec, antes mesmo do usuário logar na conta o número do telefone será enviado através da Internet para os servidores do Facebook. Não é necessário nenhuma outra ação e nenhuma permissão é requisitado. Nem mesmo um alerta sobre o envio é exibido. Muitos aparelhos Android vêm com o aplicativo pré-instalado e também não é necessário ter uma conta no Facebook para que o número do telefone seja transmitido.

Uma publicação no site ZDNet da jornalista “Violet Blue”, declara que “combinado com outros mecanismos do aplicativo, é impossível não considerar a opinião de que ele (o aplicativo) está agindo como spyware.” Ela ainda afirma: “As outras permissões do aplicativo são igualmente preocupantes e nos ajuda a compreender o que está indo parar nos nossos perfis sombra.”

Algumas das permissões do aplicativo são: gravar áudio e vídeo; fazer download de arquivos sem notificar; verificar o número do telefone e IMEI; saber quando uma chamada está ativa e qual o número remoto que está conectado àquela chamada; modificar os dados dos contatos, a frequência das chamadas realizadas, e-mails enviados ou qualquer outra forma de comunicação com contatos específicos; deletar dados de contatos; ler o registro de chamadas, incluindo dados sobre chamadas recebidas e realizadas e ler os dados dos contatos armazenados no telefone.

A gigante das redes sociais confirmou o problema e avisou que irá providenciar uma correção na próxima atualização do aplicativo. Porém, ainda não há previsão oficial.

Perfis sombra

Na semana passada, a empresa de segurança Packet Storm Security descobriu um vazamento de dados do Facebook que expôs informações de contato de seis milhões de usuários, quando a ferramenta “Baixe suas informações” acidentalmente combinou, no relatório da ferramenta, as informações do usuário com as informações de contato de um segundo perfil do mesmo usuário. Foi quando descobriram que o Facebook armazenava um “perfil sombra” de cada participante da rede.

Os dados ficaram expostos por pelo menos um ano. Usuários ficaram revoltados e alegaram que as informações de contato que eles explicitamente não forneceram ao Facebook foram coletas e armazenadas fazendo referência cruzada através do catálogo de endereços dos amigos.

No mesmo dia em que a Symantec divulgou que o aplicativo estava coletando os números dos telefones, a Packet Storm Security publicou que o problema afetou pessoas que nem usam o Facebook, porque o “perfil sombra” é criado mesmo para aqueles que não possuem qualquer relação com o Facebook.

A Packet Storm Security também alega que o Facebook enganou seus usuários no e-mail que eles enviaram para avisá-los sobre o vazamento. “Em um caso, eles afirmaram que o e-mail adicional ficou à mostra, enquanto que na verdade, quatro tipos de dados ficaram à mostra. Para uma outra pessoa, eles apenas disseram que três de quatro informações ficaram à mostra. Não parece que eles vão tomar nenhuma providência extra para explicar a real magnitude da exposição e nós suspeitamos que os números são muito maiores”, disse a empresa.

O Facebook afirmou, no entanto, que os dados coletados pelo app sem autorização não fazem parte desses perfis, porque todas as informações já teriam sido apagadas.

Anúncios

Escrito por Maria Cristina

Analista de malware http://linhadefensiva.org

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s