Hoje em dia, as versões do Android provavelmente chegam aos milhares. Isso porque cada fabricante modifica o sistema de acordo com seus próprios requisitos e nem sempre para melhor. Mas no coração do Android está um sistema operacional bem elaborado que se torna mais seguro a cada nova versão.
Ou melhor, torna-se mais seguro quando o usuário faz as coisas da maneira correta. Para colocar as mãos em dados interessantes nos armazenamentos compartilhados ou ganhar acesso à uma função que pode ser insegura, aplicativos Android precisam sempre da permissão explícita do usuário. E é crucial configurá-las adequadamente.
Já discutimos como definir essas configurações corretamente no Android 6, então agora vamos falar sobre uma versão mais recente do sistema operacional – o Android 8. Em primeiro lugar, a versão 8 possui muito mais configurações do que antes, algo bom e ruim. Bom porque você pode deixar o sistema mais seguro. Ruim porque configurar todas essas coisas é agora mais complicado e requer mais tempo. E mais, as configurações agora estão localizadas em vários lugares, incluindo alguns bem pouco intuitivos. Mas este guia deve esclarecer tudo.
Permissões configuradas na lista de Permissões do app
Essa lista inclui permissões que dão aos aplicativos acesso a informações pessoais armazenadas no smartphone (contatos, histórico de chamadas, mensagens SMS, fotos) e a dispositivos integrados por meio dos quais dados pessoais podem ser obtidos (câmera, microfone, telefone, GPS).
Conceder quaisquer dessas permissões a um aplicativo significa que, de agora em diante, o app pode obter informações desse tipo e levá-las para a nuvem sem solicitar seu consentimento explícito para o que pretende fazer com seus dados.
Assim, recomendamos a você parar e pense antes de conceder permissões a aplicativos, especialmente se não forem necessárias para o funcionamento do app. Por exemplo, a maioria dos jogos não precisa acessar seus contatos ou câmera, aplicativos de mensagens não precisam realmente saber sua localização, e alguns filtros modernos para a câmera provavelmente podem sobreviver sem o seu histórico de chamadas.
No final das contas, a decisão é sua, mas quanto menos permissões distribuir, mais intactos ficarão seus dados.
SMS
O que é: Permissão para enviar e receber mensagens SMS, MMS e notificações WAP, assim como visualizar mensagens na memória do smartphone.
O perigo: Um aplicativo com esses direitos poderá ler toda sua correspondência SMS, incluindo mensagens com códigos únicos para serviços bancários online e confirmação de transações.
Com essa permissão, o aplicativo também pode enviar spam em seu nome (e as suas custas) para todos os seus amigos. Ou inscrevê-lo em um “serviço” premium.
Onde configurar: Configurações -> Apps e notificações -> Permissões do app -> SMS
Agenda
O que é:Permissão para ver, deletar, modificar e adicionar eventos na agenda.
O perigo: Olhares curiosos podem descobrir o que você fez, o que está fazendo hoje e seus planos para o futuro. Spywares amam essa permissão.
Onde configurar: Configurações -> Apps e notificações -> Permissões do app -> Agenda
Câmera
O que é: Permissão para acessar a câmera para que o aplicativo possa tirar fotos e gravar vídeos.
O perigo: Apps com essa permissão podem tirar uma foto ou gravar um vídeo a qualquer momento e sem avisar. Criminosos armados com imagens constrangedoras e outras informações sobre você podem transformar sua vida em um pesadelo.
Onde configurar: Configurações -> Apps e notificações -> Permissões do app -> Câmera
Contatos
O que é: Permissão para ler, modificar e adicionar contatos na sua agenda e acessar a lista de contas registradas no smartphone.
O perigo: Com essa permissão, um aplicativo pode enviar sua agenda completa para seu servidor. Se até mesmo os serviços legítimos abusam dessa permissão, imagine os golpistas e spammers, para quem isso significa lucro inesperado.
Essa permissão também garante acesso à lista de contas de aplicativos no dispositivo, incluindo Google, Facebook e muitos outros serviços.
Onde configurar: Configurações -> Apps e notificações -> Permissões do app -> Contatos
Local
O que é: Acesso à sua localização – tanto aproximada (baseada em dados de estações-base de telefonia móvel e pontos de acesso WiFi) quanto precisa (baseada em dados de GPS e GLONASS).
O perigo: Permite ao aplicativo rastrear seus movimentos.
Rastrear o movimento de um smartphone revela rapidamente onde seu proprietário mora (localização noturna), trabalha (localização diurna), além de outros endereços importantes.
Mesmo que não se importe que aplicativos espionem seus movimentos, considere uma coisa: a geolocalização é um dos maiores consumidores de bateria. Então, quanto menos aplicativos obtiverem essa permissão, mais longo será o tempo de vida da bateria do seu telefone.
Onde configurar: Configurações -> Apps e notificações -> Permissões do app -> Local
Microfone
O que é: Permissão para gravar áudios dos microfones integrados de smartphones.
O perigo: Com essa permissão, aplicativos podem gravar qualquer coisa ao alcance dos ouvidos do seu telefone. Todas as suas ligações e conversas cara a cara, tudo.
Onde configurar: Configurações -> Apps e notificações -> Permissões do app -> Microfone
Sensores corporais
O que é: Acesso aos dados dos sensores corporais que fazem monitoramento de saúde e performance, como o sensor de batimento cardíaco.
O perigo: Permite ao aplicativo monitorar suas funções corporais com os dados de sensores obtidos, digamos, de uma pulseira fitness (sensores de movimento integrados em smartphones não estão incluídos nessa categoria). Esses dados podem ser utilizados por empresas de saúde, por exemplo, para avaliar o custo do seu seguro.
Onde configurar: Configurações -> Apps e notificações -> Permissões do app -> Sensores corporais
Armazenamento
O que é: Ler e gravar arquivos na memória compartilhada do smartphone. No Android, todo aplicativo tem seu pequeno armazenamento próprio que apenas o programa pode acessar; a área de armazenamento restante pode ser acessada por todos os aplicativos com essa permissão.
O perigo: Permite a um aplicativo vasculhar seus arquivos. Por exemplo, pode visualizar todas as fotografias (inclusive aquelas das suas férias que você preferia não compartilhar) e copiá-las no seu servidor. Ou encriptar seus arquivos e exigir um resgate para descriptografá-los.
Essa permissão também é perigosa porque muitos aplicativos utilizam o armazenamento compartilhado para armazenar temporariamente módulos adicionais e atualizações baixados da internet, o que os torna vulneráveis a infecções por aplicativos maliciosos. Isso é conhecido por ataque Man-in-the-Disk.
Onde configurar: Configurações -> Apps e notificações -> Permissões do app -> Armazenamento
Telefone
O que é: Permissão para visualizar e modificar o histórico de chamadas; obter seu número de telefone, dados da rede de celular e o status das ligações realizadas; adicionar correio de voz; acessar serviços de telefonia IP; visualizar números chamados com a habilidade de finalizar a ligação ou redirecioná-la para outro número; ligar para qualquer número.
O perigo: Essa permissão basicamente permite ao aplicativo fazer o que quiser com as comunicações por voz. Pode descobrir para quem você ligou e quando ou proibi-lo de realizar chamadas (para um número específico ou em geral), finalizando constantemente suas ligações. Pode interceptar suas conversas ou, é claro, realizar chamadas para qualquer lugar às suas custas, inclusive números que custam uma fortuna.
Onde configurar: Configurações -> Apps e notificações -> Permissões do app -> Telefone
Permissões configuradas na lista de acesso especial de apps
A seção acima analisou as permissões de aplicativos para acessar dados pessoais. Mas há outra lista de permissões – para acessar diversas funções Android. Nas mãos de um aplicativo malicioso essas permissões podem causar muitos danos, então as distribua com moderação.
Elas estão enterradas no fundo das configurações e longe de serem intuitivas, então para entender como são usadas e quais podem ser as consequências, o usuário precisa ter uma boa ideia de como o Android e os malwares mobile funcionam. Mas não se preocupe, vamos lhe dar um resumo dos detalhes.
Otimização de bateria
O que é: As novas versões do Android limitam severamente a possibilidade dos aplicativos de operarem em segundo plano, principalmente para economizar bateria. Dito isto, desenvolvedores cujos apps requerem operações em segundo plano (reprodutores de música, aplicativos fitness, sem mencionar antivírus) retêm a habilidade de garantir operações plenas em segundo plano. Mas para isso, precisam solicitar a permissão do usuário para que não sejam afetados pelo recurso de otimização de bateria.
O perigo: Aplicativos de spyware, por exemplo, também podem querer rodar em segundo plano para monitorar os movimentos do usuário. Assim, essa permissão deve ser tratada com cuidado, e a lista de aplicativos que podem operar livremente em segundo plano e verificada com frequência periódica.
Onde configurar: Configurações -> Apps e notificações -> Avançado -> Acesso especial a apps -> Otimização de bateria -> Não otimizado.
Apps do administrador do dispositivo
O que é: Essa permissão garante a apps o direito de usar funções de administração remota. Esse conjunto de funções foi inicialmente projetado para permitir que serviços de TI corporativos configurassem corretamente smartphones de funcionários remotamente.
O perigo: Para começar, com essa autorização de acesso um aplicativo pode modificar a senha do smartphone, bloquear a tela à força, desligar a câmera, e até mesmo limpar todos os dados. Segundo, um aplicativo com essa permissão é difícil de remover, e malwares amam utilizá-los para ganhar um ponto de apoio no sistema. Então essa permissão deve ser concedida apenas quando tiver certeza absoluta de que a aplicação solicitante seja totalmente limpa.
Onde configurar: Configurações -> Apps e notificações -> Avançado -> Acesso especial a apps -> Apps do administrador do dispositivo
Acesso “Não Perturbe”
O que é: As versões mais novas do Android apresentam a função Não Perturbe com várias configurações. Ela permite que chamadas de voz e sons e vibrações de mensagens sejam desligadas e notificações pop-up sejam escondidas. É também possível programar quando este modo entra em ação e definir exclusões (para todos ou para contatos favoritos) para que certas ligações e mensagens não sejam afetadas no modo Não Perturbe. Essa permissão possibilita a aplicativos alterar as configurações do modo.
O perigo: Um aplicativo malicioso pode habilitar o modo Não Perturbe como quiser para que o dono do smartphone perca chamadas ou mensagens importantes – por exemplo, uma ligação do seu banco referente a uma transação particularmente suspeita.
Onde configurar: Configurações -> Apps e notificações -> Avançado -> Acesso especial a apps -> Acesso “Não Perturbe”
Sobrepor a outros apps
O que é: Essa permissão autoriza ao aplicativo sobrepor suas próprias janelas sobre qualquer outro app.
O perigo: Aplicativos maliciosos podem esconder avisos importantes, e também sobrepor formulários falsos para inserção de detalhes de cartões de crédito ou senhas sobre janelas de apps legítimos. Essa permissão é um dos dois mecanismos-chave usados nos chamados ataques Manto e Adaga.
Além disso, essa permissão é amplamente utilizada por adwares para empurrar anúncios para os usuários mais efetivamente, e por blockers, um ransomware que sobrepõe a interface de um telefone com sua própria janela e exige resgate para se livrar dela.
Em resumo, a maioria dos aplicativos não deve ter essa permissão.
Onde configurar: Configurações -> Apps e notificações -> Avançado -> Acesso especial a apps -> Sobrepor a outros apps
Serviços de ajuda para RV
O que é: Essa permissão concede a aplicativos o acesso aos dispositivos e apps de realidade virtual, assim como a habilidade de rodar em segundo plano enquanto o usuário estiver com apps RV abertos.
O perigo: Além da funcionalidade de funcionar em segundo plano, algo que malwares apreciam muito, essa permissão não parece realmente perigosa. No entanto, recomendamos negá-la a aplicativos que não tem nada a ver com RV, apenas por precaução.
Onde configurar: Configurações -> Apps e notificações -> Avançado -> Acesso especial a apps -> Serviços de ajuda para RV
Mudar configurações do sistema
O que é: O Android tem dois tipos de configurações do sistema: comum e global. Note que todas as configurações realmente perigosas migraram para a última categoria, e opções secundárias como mudar a luminosidade ou volume pertencem à primeira. A permissão para mudar configurações do sistema permite que aplicativos alterem as configurações comuns, mas não as globais.
O perigo: Parece arriscado, mas é na verdade uma permissão bastante inofensiva. Não há nada genuinamente perigoso nas configurações que pode ser modificado com essa permissão.
Onde se configura: Configurações -> Apps e notificações -> Avançado -> Acesso especial a apps -> Mudar configurações do sistema
Acesso a notificações
O que é: Essa permissão serve para processar notificações. Por exemplo, o Google Wear precisa encaminhar notificações para o seu smartwatch. É também usada pelo launcher – o “App de início” do Android – para exibir notificações pop-up na área de trabalho junto aos ícones de aplicativos relevantes.
O perigo: Muitas informações confidenciais (mensagens SMS e IM, etc.) encontram seu caminho até as notificações. Se um aplicativo spyware ou um Trojan bancário pudessem espiar, descobririam coisas que você preferiria manter em segredo. Essa permissão não deve ser concedida a aplicativos aleatórios.
Onde configurar: Configurações -> Apps e notificações -> Avançado -> Acesso especial a apps -> Acesso a notificações
Picture-in-picture
O que é: O Android permite que aplicativos reproduzam vídeos no modo picture-in-picture (PIP), onde estes aparecem em uma pequena janela no canto inferior direito da tela sobre as janelas de outros aplicativos.
O perigo: O mesmo da permissão Sobrepor a outros apps. Por exemplo, um aplicativo malicioso pode usá-la para esconder um aviso importante, e adwares para exibir anúncios. A permissão PIP deve ser concedida apenas para aplicativos nos quais você confia completamente.
Onde configurar: Configurações -> Apps e notificações -> Avançado -> Acesso especial a apps -> Picture-in-picture
Acesso a SMS premium
O que é: O Google tem uma lista de números de serviços SMS premium em diferentes países ao redor do mundo. Se um aplicativo tenta enviar um SMS para um número dessa lista, o sistema solicita permissão ao usuário.
O perigo: Famílias inteiras de malwares ganham seu pão inscrevendo secretamente usuários em serviços SMS premium. Não está claro o quão abrangente a lista do Google é, mas provavelmente protege, no mínimo, contra os Trojans assinantes mais comuns.
Onde configurar: Configurações -> Apps e notificações -> Avançado -> Acesso especial a apps -> Acesso a SMS premium
Dados irrestritos
O que é: Para economizar dados móveis e bateria, o Android permite a você configurar quais apps podem transferir dados em segundo plano (customizável para cada aplicativo individualmente – não há uma lista completa para essa configuração com caixas de seleção facilmente marcáveis).
Além disso, o Android possui o modo mais restrito de Economia de dados (Configurações -> Rede e Internet -> Uso de dados -> Economia de dados). Quando esse modo é habilitado, a transferência de dados em segundo plano é desligada para a maioria dos aplicativos. Para que um app continue a ter acesso a essa funcionalidade com a Economia de dados ativada, precisa solicitar essa permissão.
O perigo: A transferência de dados em segundo plano no modo restrito de economia de dados é geralmente solicitada apenas por aplicativos de comunicação (mensagens instantâneas, clientes de e-mails, redes sociais) para garantir a entrega imediata de mensagens.
Se essa permissão for solicitada por um aplicativo que não tem nada a ver com comunicação, pare e pergunte a si mesmo se o app pode estar querendo espionar você.
Onde se configura: Configurações -> Apps e notificações -> Avançado -> Acesso especial a apps -> Dados irrestritos
Acesso ao uso
O que é: Essa permissão permite que aplicativos acessem os metadados do seu dispositivo: por exemplo, quais aplicativos usa e a frequência, qual a sua operadora, qual idioma está definido no seu telefone, e assim por diante.
O perigo: Essa permissão não fornece qualquer tipo de dados privados. No entanto, informações indiretas sobre o uso do smartphone podem ser utilizadas para compilar uma impressão digital suficientemente única, que pode ser útil para vigilância.
Além disso, Trojans bancários utilizam essa função para detectar quais aplicativos estão sendo executados e para sobrepô-los com janelas de phishing criadas para esse app específico (por exemplo, o aplicativo de um determinado banco).
Onde configurar: Configurações -> Apps e notificações -> Avançado -> Acesso especial a apps -> Acesso ao uso
Instalar apps desconhecidos
O que é: Essencialmente o mesmo que a permissão Instalar aplicativos de fontes desconhecidas das versões mais antigas do Android. Mas anteriormente era apenas uma caixa de seleção, as configurações do Android 8 são muito mais complexas. Agora aplicativos individuais podem solicitar o direito de instalar outros apps, o qual você pode permitir ou bloquear para cada um. Por exemplo, você pode dar essa permissão apenas para o gerenciador de arquivos (a propósito, isso não é recomendado).
O perigo: Mesmo a Google Play é ocasionalmente atingida por aplicativos maliciosos. Como pode imaginar, quando se trata de programas baixados sabe-se lá de onde, a situação é muito pior. Recomendamos bloquear a permissão para instalar apps desconhecidos em todos os aplicativos do seu smartphone – especialmente o navegador, para se proteger contra downloads e instalações automáticos de malwares de sites hackeados.
Se você realmente precisa instalar alguma coisa que não é de uma loja oficial (pense mais do que duas vezes antes de agir), não esqueça de restaurar o bloqueio imediamente após a instalação do app. E verifique sempre os aplicativos desconhecidos com um antivírus confiável como o Kaspersky Internet Security for Android, que pode ser instalado gratuitamente.
Onde configurar: Configurações -> Apps e notificações -> Avançado -> Acesso especial a apps -> Instalar apps desconhecidos
Permissões configuradas individualmente
Além das seções de configurações Permissões do app e Acesso especial a apps, o Android 8 apresenta diversas permissões importantes que devem ser observadas. Essas permissões, se utilizadas indevidamente, podem ser ainda mais perigosas que as das duas anteriores. Elas nunca, jamais devem ser concedidas a aplicativos aleatórios.
Acessibilidade
O que é: Um conjunto poderoso de recursos originalmente criados para facilitar a vida de usuários portadores de deficiência visual. Por exemplo, a Acessibilidade permite a um aplicativo ler em voz alta tudo o que acontece na tela, e opostamente, implementar comandos de voz do usuário por meio de uma interface gráfica.
O perigo: Esse conjunto de recursos permite a um aplicativo acessar o que acontece em outros aplicativos, de forma a violar o princípio de isolamento do Android.
Um aplicativo malicioso pode usar a Acessibilidade para espionar o que você está fazendo, e basicamente fazer o que bem entender com a interface gráfica – literalmente clicar em qualquer botão. Por exemplo, pode mudar as configurações, confirmar ações, ou mesmo comprar aplicativos na Google Play. Esse conjunto de funcionalidades é um dos dois mecanismos-chave empregados nos ataques Manto e Adaga.
Onde a configurar: Configurações -> Acessibilidade.
Solicitar permissões de Acessibilidade nem sempre é um indício direto de atividade maliciosa. Alguns aplicativos legítimos o fazem com uma boa razão. Por exemplo, antivírus mobile precisam detectar comportamentos suspeitos em outros aplicativos antes que seja tarde demais e a Acessibilidade os auxilia nessa missão. Mas em geral, antes de concedê-la, é uma boa ideia pensar bem; as consequências podem ser realmente desagradáveis.
Apps padrão
O que é: Outra lista de permissões implementada como uma seção de configurações independente e digna de atenção especial. O Android tem um conjunto de apps padrão usado para funções-chave do smartphone:
- Assistente e entrada por voz — um aplicativo assistente padrão controlado por voz, como o Google Assistant.
- App de navegação — um aplicativo para exibir páginas web.
- App de início (também chamado de launcher) — uma aparência gráfica que administra o menu de aplicativos, área de trabalho, widgets, etc.
- App de telefone — um aplicativo para realizar chamadas.
- App de SMS — para tudo que está relacionado com mensagens SMS.
Para que um aplicativo se torne padrão, a permissão do usuário precisa ser solicitada e obtida.
O perigo: Muitos Trojans bancários adorariam ser o app de SMS padrão, permitindo esconder notificações sobre saques bancários e roubar códigos únicos de confirmação.
Note que esse truque já foi aperfeiçoado pela maioria dos Trojans bancários e é comumente utilizado por cibercriminosos. Cenários desagradáveis que envolvem o uso de apps padrão são muitos, então pense muito bem antes de fornecer o status de padrão a um aplicativo.
Onde configurar: Configurações -> Apps e notificações -> Avançado -> Apps padrão.
Privilégios de root
O que é: Um superusuário é como um super-herói: alguém com superpoderes que, combinados com as habilidades certas, contorna todos os diversos mecanismos de segurança do Android e faz praticamente qualquer coisa com o sistema. Em um smartphone com root (um com direitos de superusuário), é possível modificar qualquer configuração, acessar qualquer arquivo (incluindo arquivos de sistema), deletar e instalar quaisquer aplicativos de qualquer fonte, instalar qualquer firmware e a lista não termina.
O perigo: Não é apenas o usuário que recebe o superpoder de privilégio de root; quaisquer aplicativos instalados no smartphone também. E apps podem tirar vantagem desse status para roubar dados do smartphone e praticar espionagem, além de outras atividades prejudiciais.
Enquanto todas as permissões mencionadas acima dão acesso a alguns dados e funções geralmente fornecidas no sistema operacional Android, privilégios de root permitem acesso a dados e funções que jamais deveriam ser compartilhadas. Sem mencionar que um aplicativo com acesso root pode configurar automaticamente todas as permissões como quiser.
Então pense bem antes de fazer um root no seu smartphone. Se um malware capaz de usar os privilégios de root entrar no sistema, as consequências podem ser muito mais desagradáveis do que no caso de um dispositivo Android sem root. Saiba mais no nosso post Root no Android: vantagens, desvantagens e obstáculos.
Além disso, mesmo que não faça root no seu smartphone, outra pessoa pode fazer por você. Por exemplo, quando aplicativos spyware são instalados no dispositivo da vítima, seus desenvolvedores recomendam ou mesmo solicitam privilégios root antecipadamente. E mais, alguns Trojans são capazes de conseguir privilégios root por meio da exploração de vulnerabilidades no Android. Vale a pena verificar de tempos em tempos se o seu smartphone passou por um root sem o seu conhecimento.
Onde configurar: Adquirir direitos de superusuário não é um recurso padrão do Android e não pode ser configurado no sistema operacional. Inclusive não é possível verificar se seu telefone passou por um root com os recursos normais do SO. Ao invés disso, você pode usar um dos vários aplicativos especialmente criados para verificar acessos root (entretanto, escolha o aplicativo com cuidado).
Se a verificação mostrar que seu smartphone passou por um root, mas você não fez nada, é um sinal claro de que algo desagradável está à espreita dentro do dispositivo. Talvez você foi azarado o suficiente para baixar um Trojan, ou então alguém instalou um aplicativo spyware para ficar de olho em você. Nesse caso, recomendamos salvar seus arquivos pessoais em outro lugar e livrar o seu dispositivo do acesso root – diferentes métodos funcionam em diferentes telefones.
Como configurar as permissões de aplicativos
Há várias maneiras de configurar permissões de app no Android. Primeiro, aplicativos solicitam permissões quando recursos correspondentes estão prestes a serem usados – você pode concedê-las ou não. No Android 8, essas solicitações são mais ou menos assim:
Segundo, você pode usar grupos de permissões para ver uma lista completa de aplicativos que tenham solicitado, podem solicitar ou já tenham recebido uma permissão específica. Se algo parecer suspeito entre as permissões já concedidas, pode revogá-las imediatamente. Veja acima os detalhes de onde fazer isso para cada permissão.
Terceiro, outra opção é ver que permissões cada aplicativo instalado já tem e quais pode vir a solicitar algum dia. De novo, você pode revogar qualquer permissão de um app caso alguma coisa não pareça bem – apenas esteja preparado para que algo pare de funcionar adequadamente no programa.
Aliás, as configurações do Android 8 apresentam um sistema útil de pesquisa para localizar qualquer item no menu de configurações (desde que saiba como se chama), incluindo páginas de configuração para cada aplicativo, que podem ser encontradas com seus nomes.
Conclusão
Como vimos, o Android 8 pode ser configurado de forma fácil e flexível para proteger suas informações valiosas e evitar que aplicativos autênticos ou sedentos por dados ganhem acesso às funções mais sensíveis do sistema operacional. Utilize essa flexibilidade, pense sempre nas consequências de conceder determinadas permissões, e não tenha medo de negar acesso se algo parecer suspeito.
Em muitos casos, aplicativos solicitam permissões que não precisam para operar normalmente. Não se preocupe – se negá-las, nada de terrível vai acontecer.
“Eu preciso de suas roupas, suas botas e sua motocicleta.”
“Não.”
“OK, desculpe incomodá-lo. Tenha um bom dia.”