Descrição de chapéu The Wall Street Journal

App de meteorologia chinês tentou forçar assinaturas pagas a brasileiros

Segundo empresa de segurança, além de email e localização, app identifica Imei do celular

Newley Purnell
Nova Déli | The Wall Street Journal

Um aplicativo popular de meteorologia criado por um conglomerado chinês vem recolhendo uma quantidade incomum de dados de smartphones em todo o mundo, incluindo o Brasil, e tenta levar alguns de seus usuários a assinar serviços pagos sem informá-los, de acordo com pesquisas de uma empresa londrina de segurança na computação.

O app gratuito, um dos aplicativos meteorológicos mais baixados na Google Play Store, é produzido pela TCL, de Shenzhen, na China. A empresa produz celulares com as marcas Alcatel e BlackBerry, e uma empresa-irmã produz televisores.

Pessoa com smartphone; aplicativo da TCL foi baixado mais de 10 milhões de vezes
Pessoa com smartphone; aplicativo da TCL foi baixado mais de 10 milhões de vezes - Marcelo Casal Jr/Agência Brasil

Chamado de Weather Forecast – World Weather Accurate Radar, ele recolhe dados como a localização geográfica do usuário, o endereço de email e o número IMEI de seu celular (um identificador único de 15 dígitos para aparelhos eletrônicos portáteis), e os encaminha a servidores da TCL na China.

A informação é da Upstream Systems, uma empresa de comércio eletrônico e segurança que detectou essa atividade.

 

Até o mês passado, o app era conhecido como Weather – Simple Weather Forecast. Um porta-voz da TCL não respondeu a perguntas sobre a coleta excessiva de dados.

O app meteorológico também tentou criar assinaturas pagas em mais de 100 mil usuários de celulares Alcatel de baixo preço em países como Brasil, Malásia e Nigéria, para serviços de realidade virtual, de acordo com a Upstream Systems.

A empresa de segurança, que descobriu a atividade como parte de seu trabalho para operadoras de telefonia móvel, disse que os usuários teriam tido de pagar mais de US$ 1,5 milhão por essas assinaturas caso ela não tivesse bloqueado as tentativas.

Depois que o The Wall Street Journal buscou informações sobre o app em novembro, a TCL o atualizou na Google Play Store. O app abandonou as tentativas clandestinas de criar assinaturas, de acordo com a Upstream, mas a coleta de dados continua.

O porta-voz da TCL declarou que a empresa tem diversas salvaguardas de segurança em operação, mas que que agora "vai avaliar novos consultores de segurança que possam fornecer validação adicional da segurança dos aplicativos móveis que desenvolvemos".

Ele não comentou sobre as assinaturas forçadas.

Muitos apps populares para smartphones recolhem diversos dados, e os apps de meteorologia tipicamente necessitam da localização do usuário para fornecer informações sobre o clima. IMEI, no entanto, é uma novidade.

"Eu não instalaria esse app", disse Michael Covington, executivo da Wandera, empresa de segurança.

"É realmente questionável que um app cuja função é tão benigna esteja recolhendo informações que permitem identificação específica do usuário."

"Toda essa atividade acontece como pano de fundo", disse Dimitris Maniatis, executivo de segurança da Upstream. "Não existe oportunidade para que o usuário receba um alerta".

Desde que a TCL lançou o app, em dezembro de 2016, ele foi baixado mais de 10 milhões de vezes. Está entre os cinco apps meteorológicos mais baixados em 30 países, de acordo com a App Annie, companhia de pesquisa que acompanha o uso de apps.

Em 2018, ele era o sexto mais popular entre os apps meteorológicos no Reino Unido e Canadá, e em 2017 esteve entre 20 mais populares nos Estados Unidos, ainda de acordo com a App Annie. O app da TCL é especialmente popular em países como Brasil, México e Filipinas.

O app meteorológico foi projetado para smartphones que usem o sistema operacional Google Android. Não existe versão para o iOS da Apple.

Um porta-voz do Google disse que a empresa não comenta sobre apps individuais.

A loja de aplicativos do Google suspendeu dois apps de empresas chinesas em dezembro, depois que surgiram acusações de que eles estavam sendo usados para fraudes publicitárias.

Em julho, The Wall Street Journal noticiou que um app de uma empresa de publicidade para aparelhos móveis sediada na Tailândia e incluído em smartphones vendidos em Mianmar, no Camboja e no Brasil recolhia dados extensos sobre seus usuários.

A empresa de publicidade, General Mobile Corp., ou GMobi, foi posteriormente adquirida pela Airpush, uma empresa de publicidade digital sediada em Los Angeles.

Justin Montgomery, vice-presidente de marketing da Airpush, se recusou a revelar que dados específicos, se algum, a GMobi e a Airpush recolhem agora.

"Se um usuário compra um aparelho mais barato, o faz com a expectativa de que certas coisas serão monetizadas para ajudar a subsidiar o custo", disse Montgomery.

Os usuários em mercados emergentes são especialmente vulneráveis à coleta de dados, dizem analistas, porque em muitos casos nunca tiveram smartphones e na maioria dos países em desenvolvimento a proteção à privacidade é fraca.

Em muitos mercados emergentes, os consumidores se preocupam menos com a privacidade do que nos Estados Unidos, "o que os torna vítimas ou alvos fáceis", disse Augustine Fou, pesquisador independente sobre segurança cibernética e fraudes publicitárias radicado em Nova York.

Traduzido do inglês por Paulo Migliacci

Comentários

Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.