Image default
Security

Os aplicativos de VPN e suas permissões perigosas

Há quem confie cegamente nos aplicativos de VPN para Android, ainda mais quando nos casos em que o WhatsApp, ou algum outro app é bloqueado no país, vemos muitas pessoas querendo usar aquele appzinho de VPN para tentar burlar a restrição.

Não somente nesses casos, mas em vários outros, as pessoas apelam para serviços de VPN “gratuitos”, que são fornecidos como uma fachada para que as empresas possam coletar várias outras informações sobre os usuários.

O site de notícias de cibersegurança, HackRead (HR), motivado pela conclusão desse estudo, resolveu ir mais a fundo para constarar o quão ameaçador (especialmente quando se trata de dados de usuários) os aplicativos de VPN do Android podem ser.

Os resultados são chocantes.

62% dos apps de VPN para Android solicitam permissões perigosas

É importante você saber onde está o verdadeiro problema, especialmente quando falamos de dispositivos móveis: as permissões que você dá aos aplicativos de VPN que você instala em seu smartphone ou tablet.

O problema real no entanto, está nos aplicativos que solicitam permissões perigosas e que não são necessárias para que o aplicativo desempenhe suas funções originais. Exemplo: Porque um navegador precisará de acesso na sua câmera ou aos seus contatos? Lembre-se que algumas funcionalidades solicitadas (até aquelas que levantam suspeitas) são obrigatórias, caso contrário o aplicativo não será instalado.

A documentação oficial dos desenvolvedores de Android classifica as permissões de aplicativos em duas categorias:

  • Permissões normais, que são necessárias para que um aplicativo possa funcionar;
  • Permissões perigosas, que podem colocar em risco a privacidade do usuário.

Com base em um estudo dos 81 aplicativos de VPN mais populares para Android no TheBestVPN, o HR descobriu que impressionantes 62% de todos os aplicativos de VPN exigem permissões perigosas, que como falamos, não são necessárias para que o aplicativo funcione.

E nesse caso, o HR nem está falando de aplicativos gratuitos dessa vez, mas de VPNs premium onde você precisa pagar para usar seus serviços.

Os principais serviços de VPN premium que exigem permissões duvidosas incluem:

  • ProXPN: um serviço de VPN prenium que custa 9,99 dólares por mês (5 permissões perigosas);
  • SwitchVPN: um serviço de VPN premium que custa 5,95 dólares (4 permissões perigosas);
  • ZoogVPN: serviço premium que custa 6,99 dólares (5 permissões perigosas);

A tabela abaixo mostra alguns outros “culpados” (gratuitos e pagos):

VPN Name# of dangerous permissionExact permission name
Yoga VPN
Google Play link
6android.permission.ACCESS_FINE_LOCATION
android.permission.READ_PHONE_STATE
android.permission.WRITE_SETTINGS
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
proXPN VPN
Google Play link
5android.permission.ACCESS_FINE_LOCATION
android.permission.READ_PHONE_STATE
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
Hola Free VPN
Google Play link
4android.permission.READ_PHONE_STATE
android.permission.ACCESS_FINE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
Seed4.Me VPN
Google Play link
4android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
OvpnSpider
Google Play link
4android.permission.ACCESS_FINE_LOCATION
android.permission.READ_LOGS
android.permission.ACCESS_COARSE_LOCATION
android.permission.WRITE_EXTERNAL_STORAGE
SwitchVPN
Google Play link
4android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
Zoog VPN
Google Play link
4android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_COARSE_LOCATION
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE

A coisa está ficando um pouco interessante. Até marcas mais famosas de VPNs pagas também não estão insentas.

  • Speedify VPN – com mais de 1 milhão de instalações (requer 3 permissões perigosas)
  • Windscribe – com mais de 1 milhão de instalações (requer 2 permissões perigosas)
  • Mcafee Safe Connect – com mais de 500.000 instalações (requer 2 permissões perigosas)
  • Avast VPN – com mais de 10 milhões de instalações (exigindo 1 permissão perigosa)
  • NordVPN – com mais de 5 milhões de instalações (requerendo 1 permissão perigosa)
  • HideMyAss VPN – com mais de 1 milhão de instalações (requerendo 1 permissão perigosa)
  • Norton Secure VPN – com mais de 1 milhão de instalações (exigindo 1 permissão perigosa)
  • PureVPN – com mais de 1 milhão de instalações (requerendo 1 permissão perigosa)
  • Private Internet Access (PIA) – com mais de 1 milhão de instalações (requerendo 1 permissão perigosa)

Quais tipos de permissões perigosas esses aplicativos estão solicitando?

  • android.permission.WRITE_EXTERNAL_STORAGE – permite um aplicativo gravar informações em um armazenamento externo.
  • android.permission.READ_EXTERNAL_STORAGE – permite um aplicativo a ler informações em um armazenamento externo, como o SD CARD.
  • android.permission.READ_PHONE_STATE – que ajuda um aplicativo a ler suas informações de dispositivo e rede.
  • android.permission.ACCESS_COARSE_LOCATION e android.permission.ACCESS_FINE_LOCATION, permite um aplicativo a determinar sua localização onde quer que esteja.

A pesquisa do HR entra em detalhes completos sobre as permissões exatas que cada um dos 81 aplicativos requer, quais são as permissões e quais são desnecessárias. Eles criaram uma planilha que organiza e categoriza cada uma das VPNs, com base no número de permissões necessárias.

Não é preciso nem dizer que as permissões acima são desnecessárias, mas VPNs mais populares (incluindo a NordVPN, PIA, Windscribe e Avast VPN) exigem uma ou mais delas.

Você deve parar de usar essas VPNs ?

Não necessariamente.

Algumas VPNs são mais confiáveis do que outras. Sabemos que algumas VPNs pagas, como a PIA, foram intimadas no passado pelo FBI, mas não tinham nada para as autoridades, e é pouco provável que abusem da privacidade dos usuários com base em seus antecedentes. No entantom as permissões que seus aplicativos solicitam não são necessárias para o funcionamento do aplicativo.

O fato de as principais VPNs como ExpressVPN, ProtonVPN, CyberGhost e TorGuard serem capazes de funcionar sem solicitar qualquer permissão perigosa, também mostra que essas permissões não são de forma alguma necessárias para que um aplicativo de VPN funcione.

Apesar de não recomendarmos que você pare de usar as VPNs afetadas, acreditamos que contatá-las (informá-las sobre este post) e solicitar que façam as alterações necessárias, pode ajudar muito a tornar o segmento de VPN mais seguro, além de proteger a sua privacidade.

Mas sabemos muito bem que na prática isso não ocorre.

Fonte:

Posts similares

Malwares são assinados com certificado roubado de empresa de tecnologia

O Analista

“Hacker” vaza na rede arquivos importantes da polícia dos EUA

O Analista

Wireshark: Até que enfim um curso que vai te ensinar os macetes da ferramenta

O Analista