iMessage pirata expõe fragilidade da loja Google Play

São Paulo – Uma versão não oficial para Android do aplicativo de mensagens iMessage foi removido da Play Store nesta terça-feira. O app havia aparecido no começo do mês, mas ganhou repercussão apenas agora, depois de apresentar problemas relacionados a segurança.

Atribuído ao desenvolvedor Daniel Zweigart, o programa de fato funcionava, mas, logo de cara, já exigia muitas permissões da pessoa que o instalasse. O que por si só já levantava uma série de suspeitas foi justificado pelo criador do app em entrevista ao TechCrunch. Segundo ele, as autorizações simplesmente eram necessárias para acessar a rede original do iMessage.

O segredo do funcionamento do app, no entanto, ia além das permissões, como descobriram os usuários do fórum Hacker News e o desenvolvedor Jay Freeman. As mensagens trocadas eram enviadas a um servidor terceirizado, que as processava e “disfarçava” os aparelhos Android. Dessa forma, como observado pelo desenvolvedor Adam Bell, no Twitter, os dispositivos eram identificados como Macs pelos servidores da Apple.

Graças a isso, tornava-se impossível que a empresa dona do iPhone fizesse o simples e bloqueasse os smartphones pelo IP. Apesar de engenhoso, o método é também contestável, já que as informações enviadas pelos usuários poderiam ficar armazenadas no servidor do desenvolvedor, assim como as Apple IDs e as senhas cadastradas no serviço “ilegal”.

Além da forma suspeita para permitir a troca de mensagens em um protocolo incompatível com o sistema, o iMessage para Android ainda apresentava outros riscos. O desenvolvedor Steven Troughton Smith notou que o código do aplicativo ainda apresentava comandos para baixar e instalar outros aplicativos sem a permissão do usuário. Por fim, o Andrubis, ferramenta que analisa o grau de periculosidade de apps para Android, classificou o iMessage pirata como “possivelmente malicioso”, com uma nota 9.8 – o máximo é 10.

Questão de segurança – A justificativa da retirada do aplicativo da Play Store envolveu basicamente violações nas políticas do Google – além dos problemas relacionados a segurança, há quebra de patentes pelo uso do nome iMessage e da interface do iOS 6, por exemplo. No entanto, o simples fato de ter entrado na loja de aplicativos mostra que, de fato, segurança é um problema no Android.

Como apontou a F-Secure, em uma pesquisa publicada em julho deste ano, 79% dos malware de smartphones de 2012 tinham como alvo o Android. Para efeito de comparação, a parcela relacionada ao iOS era de apenas 0,7% – e não dá para falar de popularidade, já que a plataforma ainda é a segunda mais popular no mundo, com 40,4% do mercado, segundo a ComScore. O problema, então, podem ser realmente vulnerabilidades no sistema – então é bom se manter protegido.

São Paulo – Uma versão não oficial para Android do aplicativo de mensagens iMessage foi removido da Play Store nesta terça-feira. O app havia aparecido no começo do mês, mas ganhou repercussão apenas agora, depois de apresentar problemas relacionados a segurança.

Atribuído ao desenvolvedor Daniel Zweigart, o programa de fato funcionava, mas, logo de cara, já exigia muitas permissões da pessoa que o instalasse. O que por si só já levantava uma série de suspeitas foi justificado pelo criador do app em entrevista ao TechCrunch. Segundo ele, as autorizações simplesmente eram necessárias para acessar a rede original do iMessage.

O segredo do funcionamento do app, no entanto, ia além das permissões, como descobriram os usuários do fórum Hacker News e o desenvolvedor Jay Freeman. As mensagens trocadas eram enviadas a um servidor terceirizado, que as processava e “disfarçava” os aparelhos Android. Dessa forma, como observado pelo desenvolvedor Adam Bell, no Twitter, os dispositivos eram identificados como Macs pelos servidores da Apple.

Graças a isso, tornava-se impossível que a empresa dona do iPhone fizesse o simples e bloqueasse os smartphones pelo IP. Apesar de engenhoso, o método é também contestável, já que as informações enviadas pelos usuários poderiam ficar armazenadas no servidor do desenvolvedor, assim como as Apple IDs e as senhas cadastradas no serviço “ilegal”.

Além da forma suspeita para permitir a troca de mensagens em um protocolo incompatível com o sistema, o iMessage para Android ainda apresentava outros riscos. O desenvolvedor Steven Troughton Smith notou que o código do aplicativo ainda apresentava comandos para baixar e instalar outros aplicativos sem a permissão do usuário. Por fim, o Andrubis, ferramenta que analisa o grau de periculosidade de apps para Android, classificou o iMessage pirata como “possivelmente malicioso”, com uma nota 9.8 – o máximo é 10.

Questão de segurança – A justificativa da retirada do aplicativo da Play Store envolveu basicamente violações nas políticas do Google – além dos problemas relacionados a segurança, há quebra de patentes pelo uso do nome iMessage e da interface do iOS 6, por exemplo. No entanto, o simples fato de ter entrado na loja de aplicativos mostra que, de fato, segurança é um problema no Android.

Como apontou a F-Secure, em uma pesquisa publicada em julho deste ano, 79% dos malware de smartphones de 2012 tinham como alvo o Android. Para efeito de comparação, a parcela relacionada ao iOS era de apenas 0,7% – e não dá para falar de popularidade, já que a plataforma ainda é a segunda mais popular no mundo, com 40,4% do mercado, segundo a ComScore. O problema, então, podem ser realmente vulnerabilidades no sistema – então é bom se manter protegido.