A Sombra Digital: O Que Aplicativos Populares de Android Escondem Sob o Capô (Resultados de Auditoria)
Uma auditoria profunda em sete aplicativos Android populares revelou um número alarmante de vulnerabilidades e práticas invasivas de coleta de dados. Descubra o que está por trás das permissões que concedemos e como proteger sua privacidade.
MundiX News·02 de maio de 2026·7 min de leitura·👁 4 views
Ao instalar aplicativos populares de Android, como Яндекс Go, frequentemente concedemos permissões amplas – microfone, contatos, localização – sob o pretexto de que são necessárias para a funcionalidade. No entanto, uma análise recente de sete aplicativos Android populares revelou que muitos deles acessam dados e funcionalidades muito além do escopo do serviço oferecido. O estudo, que envolveu engenharia reversa, descompilação de DEX e análise de manifestos e bibliotecas nativas, expôs práticas preocupantes de coleta de dados e vulnerabilidades de segurança.
Os aplicativos auditados incluíram Яндекс Go, Карты (Mapas), Музыка (Música), Пэй (Pay), Телемост (Telemost), Mir Pay e o mensageiro МАКС (anteriormente ICQ New / VK Messenger). A análise, baseada nas diretrizes do OWASP MASTG, buscou por chaves hardcoded, componentes expostos, criptografia fraca, tráfego cleartext e, crucialmente, mecanismos de vigilância como trackers, detecção de VPN, fingerprinting e coleta oculta de dados (clipboard, contatos, histórico de chamadas, AudioRecord). O resultado geral foi alarmante: 93 vulnerabilidades foram identificadas nos sete aplicativos, com 5 críticas, 31 altas e 42 médias. Mais preocupante ainda, quatro aplicativos obtiveram uma pontuação de risco de vigilância de 100/100, indicando um nível extremo de coleta de dados.
Um dos achados mais notáveis foi no mensageiro МАКС, que possui uma classe chamada KeywordSpotterManager capaz de reconhecer palavras-chave diretamente no fluxo de áudio das chamadas. Isso vai além da simples coleta de metadados de chamadas e representa uma invasão significativa da privacidade. Outro ponto de atenção é a detecção de VPN em vários aplicativos, com alguns deles utilizando vazamentos de WebRTC ICE Candidate para expor o IP real do usuário, mesmo quando uma VPN está ativa. A Яндекс, em particular, demonstrou uma filosofia consistente de coleta de dados em seus cinco aplicativos auditados, com Яндекс Go, Карты e Телемост recebendo pontuações máximas de risco de vigilância. Mir Pay, por outro lado, apresentou-se como o aplicativo mais 'silencioso', com um risco de vigilância significativamente menor, embora ainda apresentasse algumas preocupações de segurança, como a ausência de Network Security Config e o uso do SDK do AdMob.
Diante desses achados, o autor sugere medidas práticas para mitigar os riscos. A filtragem de DNS com ferramentas como AdGuard ou NextDNS pode bloquear domínios de trackers. A criação de perfis de trabalho isolados com Shelter ou Island em versões mais recentes do Android pode restringir o acesso de aplicativos a dados sensíveis. Além disso, a revisão e revogação de permissões desnecessárias, especialmente o acesso em segundo plano à localização, são cruciais. Para usuários de VPN, desativar o WebRTC ou usar VPNs com relay TURN pode reduzir vazamentos de IP. No caso do МАКС e sua funcionalidade de reconhecimento de palavras-chave, a decisão de usar clientes alternativos ou modificados é uma consideração pessoal. Os relatórios completos, incluindo tabelas de vulnerabilidades, códigos CWE, pontuações CVSS e análises detalhadas dos mecanismos de vigilância, estão disponíveis em formato PDF para consulta.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Ao instalar aplicativos populares de Android, como Яндекс Go, frequentemente concedemos permissões amplas – microfone, contatos, localização – sob o pretexto de que são necessárias para a funcionalidade. No entanto, uma análise recente de sete aplicativos Android populares revelou que muitos deles acessam dados e funcionalidades muito além do escopo do serviço oferecido. O estudo, que envolveu engenharia reversa, descompilação de DEX e análise de manifestos e bibliotecas nativas, expôs práticas preocupantes de coleta de dados e vulnerabilidades de segurança.
Os aplicativos auditados incluíram Яндекс Go, Карты (Mapas), Музыка (Música), Пэй (Pay), Телемост (Telemost), Mir Pay e o mensageiro МАКС (anteriormente ICQ New / VK Messenger). A análise, baseada nas diretrizes do OWASP MASTG, buscou por chaves hardcoded, componentes expostos, criptografia fraca, tráfego cleartext e, crucialmente, mecanismos de vigilância como trackers, detecção de VPN, fingerprinting e coleta oculta de dados (clipboard, contatos, histórico de chamadas, AudioRecord). O resultado geral foi alarmante: 93 vulnerabilidades foram identificadas nos sete aplicativos, com 5 críticas, 31 altas e 42 médias. Mais preocupante ainda, quatro aplicativos obtiveram uma pontuação de risco de vigilância de 100/100, indicando um nível extremo de coleta de dados.
Um dos achados mais notáveis foi no mensageiro МАКС, que possui uma classe chamada KeywordSpotterManager capaz de reconhecer palavras-chave diretamente no fluxo de áudio das chamadas. Isso vai além da simples coleta de metadados de chamadas e representa uma invasão significativa da privacidade. Outro ponto de atenção é a detecção de VPN em vários aplicativos, com alguns deles utilizando vazamentos de WebRTC ICE Candidate para expor o IP real do usuário, mesmo quando uma VPN está ativa. A Яндекс, em particular, demonstrou uma filosofia consistente de coleta de dados em seus cinco aplicativos auditados, com Яндекс Go, Карты e Телемост recebendo pontuações máximas de risco de vigilância. Mir Pay, por outro lado, apresentou-se como o aplicativo mais 'silencioso', com um risco de vigilância significativamente menor, embora ainda apresentasse algumas preocupações de segurança, como a ausência de Network Security Config e o uso do SDK do AdMob.
Diante desses achados, o autor sugere medidas práticas para mitigar os riscos. A filtragem de DNS com ferramentas como AdGuard ou NextDNS pode bloquear domínios de trackers. A criação de perfis de trabalho isolados com Shelter ou Island em versões mais recentes do Android pode restringir o acesso de aplicativos a dados sensíveis. Além disso, a revisão e revogação de permissões desnecessárias, especialmente o acesso em segundo plano à localização, são cruciais. Para usuários de VPN, desativar o WebRTC ou usar VPNs com relay TURN pode reduzir vazamentos de IP. No caso do МАКС e sua funcionalidade de reconhecimento de palavras-chave, a decisão de usar clientes alternativos ou modificados é uma consideração pessoal. Os relatórios completos, incluindo tabelas de vulnerabilidades, códigos CWE, pontuações CVSS e análises detalhadas dos mecanismos de vigilância, estão disponíveis em formato PDF para consulta.
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
