Se qualquer pessoa soubesse todos os apps no seu celular

 (peabee.substack.com)
2 pontos por GN⁺ 2025-03-30 | Ainda não há comentários. | Compartilhar no WhatsApp
  • Até alguns anos atrás, apps Android podiam ver a lista completa de apps instalados sem a permissão do usuário
  • A partir do Android 11 (aplicado desde 2022), o Google introduziu a política de visibilidade de pacotes, que restringe o acesso de desenvolvedores à lista de apps instalados
  • Excepcionalmente, apps cuja função central exige isso, como gerenciadores de arquivos, navegadores e antivírus, podem solicitar a permissão QUERY_ALL_PACKAGES para ver a lista completa de apps
  • O desenvolvedor deve declarar em AndroidManifest.xml a lista de apps que deseja verificar

Como apps indianos usam a lista de apps instalados

  • O autor instalou vários apps indianos em um telefone Android secundário e analisou os arquivos AndroidManifest.xml
  • A maioria dos apps verifica apenas apps razoáveis para executar sua função, como apps de pagamento UPI
  • Mas alguns apps declaram uma quantidade muito grande de apps e coletam informação em excesso

Lista de consulta de apps do Swiggy

  • O Swiggy declara nada menos que 154 nomes de pacotes de apps
  • Inclui até apps sem relação com entrega de comida, como Xbox, Playstation, Naukri e Upstox
  • Há grande chance de isso servir para criação de perfil de usuário com base em dados de comportamento do cliente
  • Segundo a política do Google, a lista de apps instalados é classificada como dado pessoal sensível

Lista de consulta de apps do Zepto

  • O Zepto declara ainda mais apps que o Swiggy: 165
  • Inclui apps populares de praticamente todas as categorias, como Netflix, Bumble e Binance
  • O Zepto é conhecido por mostrar preços diferentes para usuários de iOS e Android
  • Com essas informações, ele também pode exibir preços diferenciados entre usuários de dispositivos Android

Consulta de apps nos apps para entregadores

  • Os apps de entregador do Swiggy e do Zepto também consultam listas separadas de apps
  • O Zepto se limita basicamente a verificar apps de entregadores concorrentes
  • O Swiggy vai além e consulta apps de finanças pessoais, apps de empréstimo e até apps de jogo como Ludo King
  • É um nível de coleta de informação que chega a monitorar até as atividades de lazer dos entregadores

Consulta excessiva de apps em apps de empréstimo

  • Kreditbee (50 milhões+ de downloads): verifica 860 apps
  • Moneyview (50 milhões+ de downloads): verifica 944 apps (a lista completa está no link do GitHub)
  • Inclui apps de calendário, astrologia, religião, casamento e agricultura, entre muitos outros aspectos da vida cotidiana
  • Usa a estratégia de listar apps um por um para contornar a política do Google que proíbe QUERY_ALL_PACKAGES

Uso excepcional de permissão pelo Cred

  • O Cred é o único a usar a permissão QUERY_ALL_PACKAGES
  • O Google permite isso temporariamente quando a função principal envolve transações financeiras
  • Porém, outros apps financeiros como PhonePe e Paytm não usam essa permissão
  • Como o Cred também oferece serviços de empréstimo, pode haver violação da política

Método de contorno com filtro ACTION_MAIN

  • Alguns apps usam o filtro de intent ACTION_MAIN para identificar todos os apps com interface gráfica
  • Esse método permite verificar indiretamente a lista de apps instalados sem a permissão QUERY_ALL_PACKAGES
  • Em um experimento com um app de teste, foi possível obter a lista completa de apps com esse método
  • A Play Store deveria bloquear isso, mas na prática a fiscalização é frouxa

Lista de apps que usam o filtro

  • Apps que usam filtro para verificar apps instalados:

    • Astrotalk, Axis Mobile, Bajaj Finserv, BookMyShow, Cars24, Cure.fit, Fibe, Groww, Housing, Instamart, Ixigo, JioHotstar, KreditBee, KukuTV, LazyPay, Ludo King, Meesho, MoneyTap, Moneyview, Navi, NoBroker, Nykaa, Ola, PhonePe, PhysicsWallah, Slice, Spinny, Swiggy, Swiggy Delivery, Tata Neu, Zomato

  • Apps que não usam o filtro:

    • Airtel Thanks, Blinkit, Byju’s, MyGate, Dream11, Flipkart, HDFC Mobile, Healthify, INDmoney, MyJio, Paytm, PaisaBazaar, ShareChat, Unacademy, Vedantu, Zepto

  • O Swiggy usa tanto o filtro quanto a declaração direta (o método de coleta de dados é até mais transparente)

Até apps globais variam no uso do filtro

  • Usam o filtro: Facebook, Instagram, Snapchat, Subway Surfers, Truecaller
  • Não usam o filtro: Amazon, Spotify, X(Twitter), Discord, WhatsApp

Quão sensíveis são os dados de apps instalados

  • Em 2022, a Vice noticiou casos em que corretores de dados nos EUA comercializavam informações sobre instalação de apps de ciclo menstrual
  • Assim, a lista de apps instalados pode revelar informações sensíveis como crenças pessoais, saúde e situação financeira

Caso de uso da permissão de SMS pelo Zepto

  • O Zepto solicita a permissão READ_SMS
  • Ela é obrigatória para usar o recurso Zepto Postpaid e, na prática, o app pode ler SMS mesmo sem o usuário escolher isso
  • Até mensagens de Blinkit, Swiggy e Flipkart entram no escopo de análise

Conclusão

  • A maioria dos apps funciona dentro de um intervalo normal sem pedir permissões excessivas
  • Porém, alguns apps coletam dados sobre os apps instalados do usuário usando técnicas de contorno e listas excessivas de pacotes
  • Os usuários precisam estar cientes de que essas informações podem ser expostas com facilidade ao instalar apps
  • No fim, esses dados podem ser vendidos por meio de corretores de dados e usados depois para discriminação de preços ou segmentação de anúncios

Leituras relacionadas

Ainda não há comentários.

Ainda não há comentários.