De acordo com especialistas em segurança consultados pela BBC, apps de previsão do tempo estão minerando dados de usuários sem permissão e facilitando fraudes. Um deles, o “Weather Forecast—World Weather Accurate Radar”, já foi baixado mais de 10 milhões de vezes na Play Store e é acusado de inscrever usuários em serviços pagos sem suas autorizações.

Esse app em específico é desenvolvido pela chinesa TCL, que é dona das marcas de smartphone Alcatel e BlackBerry. A empresa inclusive embarca esse software de fábrica em dispositivos dessas marcas.

Segundo a Upstream Systems, especializada em segurança mobile, o app da TCL solicita informações em excesso do usuário, caracterizando mineração de dados pessoais. Para usar o app, não só é preciso fornecer sua localização em tempo real, mas também entregar endereços de email e números de IMEI do seu smartphone.

Só no Brasil, mais de 2,5 milhões de tentativas de transações suspeitas foram feitas entre julho e agosto de 2018 por meio de smartphones Alcatel

A empresa de segurança afirma que só no Brasil, mais de 2,5 milhões de tentativas de transações suspeitas foram feitas entre julho e agosto de 2018 por meio de smartphones Alcatel que usam o dito app da TCL por aqui. Depois de descoberto, o esquema foi bloqueado. Fora o Brasil, donos de aparelhos da Alcatel na Malásia e na Nigéria também foram vítimas.

Vários outros apps de previsão do tempo também já foram pegos em práticas similares. Em dezembro, a Google retirou da Play Store dois apps de tempo chineses por conta da coleta excessiva de dados dos usuários.

Também no exterior

Uma organização que cuida da internet na China também constatou que 18 dos mais populares apps no país também praticam a mesma coleta excessiva sem permissão dos usuários.

Nos EUA, o Weather Channel, o mais popular app de previsão do tempo por lá, com mais de 100 milhões de instalações em aparelhos Android e iOS, foi acusado de também minerar dados dos usuários e fazer uso comercial disso sem nunca pedir autorização.

A empresa responsável agora está sendo processada pela procuradoria pública de Los Angeles. Essa companhia é de propriedade da IBM.

[Atualização 07/01 - Posicionamento]

A TCL enviou o seguinte posicionamento para a imprensa a respeito da denúncia:

A TCL Communication trabalha em estreita colaboração com todos os seus parceiros para garantir que seus clientes desfrutem de uma ótima experiência quando usam seus dispositivos móveis. Cada aplicativo de celular desenvolvido é enviado pelo VirusTotal, que inspeciona a transmissão de cada aplicativo com mais de 70 scanners antivírus diferentes, para garantir a entrega de uma experiência segura à loja Google Play, incluindo os aplicativos que têm parceiros terceirizados adicionais, aproveitando de seus SDKs. Cada aplicativo passa pelas verificações de segurança do Google antes de ser listado na loja Google Play.

Mesmo com todas essas proteções, a empresa entende a necessidade de permanecer vigilante com a segurança de seus clientes, e é por isso que está removendo o acesso de terceiros ao SDK de seus aplicativos para celular, com exceção do Google e de outros poucos parceiros globais confiáveis ??e certificados. Também avaliará novos consultores de segurança que possam fornecer certificação adicional da segurança dos aplicativos de celulares que ela desenvolve.