As permissões dos aplicativos funcionam como um sentinela invisível que controla a que tipo de dados e recursos do dispositivo seus apps podem acessar. Se você já baixou um aplicativo novo, provavelmente recebeu uma solicitação de permissões. E sejamos sinceros: quantas vezes já tocamos em “permitir” sem pensar muito?

Algumas permissões são razoáveis e necessárias para que o aplicativo funcione corretamente. Mas outras podem, seja de forma intencional ou não, ir além do estritamente necessário. Há inclusive casos em que as permissões solicitadas podem ser diretamente maliciosas. Por isso, é importante saber quais vale a pena autorizar e quais é melhor bloquear.

O que acontece com as permissões dos aplicativos?

A janela pop-up de permissões de um aplicativo é, basicamente, um diálogo entre o sistema operacional do seu celular e você. Ela informa que um novo app quer acessar determinados dados ou funções e solicita sua aprovação para poder fazê-lo.

Antes, essas solicitações apareciam antes da instalação do aplicativo. No entanto, as versões mais recentes do iOS exibem as permissões em tempo de execução, ou seja, quando você começa a usar o app. O Android adota uma abordagem mista: solicita algumas permissões durante a instalação, geralmente as de baixo risco, e outras enquanto você utiliza o aplicativo.

Desde o Android 6.0, as permissões são divididas em duas categorias principais. De um lado estão as permissões normais, como o acesso à Internet, que são concedidas automaticamente durante a instalação, sem necessidade de intervenção do usuário. Do outro lado estão as permissões perigosas, como localização, microfone ou contatos, que exigem a aprovação explícita do usuário em tempo de execução, isto é, na primeira vez que o app tenta usar essa função.

Nas versões mais recentes, o Android incorporou permissões adicionais, como a localização em segundo plano ou a permissão para enviar notificações, que podem exigir fluxos de consentimento separados ou em várias etapas. O iOS adota uma abordagem semelhante à do Android para permissões sensíveis, exibindo todas em tempo de execução.

Para os desenvolvedores, as permissões são uma peça fundamental para oferecer aos usuários experiências fluidas e ricas em recursos. Se um aplicativo tivesse que solicitar acesso a dados ou funções do dispositivo toda vez que os utilizasse, seria praticamente impossível de usar.

Tanto o iOS quanto o Android incorporaram, nos últimos anos, importantes medidas de proteção para reduzir os riscos associados à concessão de permissões excessivamente amplas. Graças a essas salvaguardas, muitas decisões críticas são gerenciadas automaticamente em segundo plano. Ainda assim, é você quem decide quais permissões conceder e quais recusar.

Os perigos das permissões dos aplicativos

De forma intencional ou não, alguns aplicativos solicitam mais acesso do que realmente precisam. Pense, por exemplo, em um simples jogo para celular que pede permissão para acessar seus contatos, ou em uma calculadora que solicita usar seu microfone e sua câmera. Essas solicitações devem acender um sinal de alerta.

Se você aceitar permissões sem parar para avaliá-las, pode permitir que desenvolvedores mal-intencionados tenham acesso a dados sensíveis do seu smartphone: calendário, mensagens, SMS, arquivos, contatos, registros de chamadas, localização, microfone, câmera e muito mais. Em teoria, com determinadas permissões críticas, também poderiam capturar o que aparece na sua tela enquanto você digita.

Com permissões excessivas, um aplicativo malicioso pode:

  • Roubar as senhas das suas contas mais sensíveis, incluindo as de internet banking;
  • Interceptar códigos SMS de uso único;
  • Inscrever você, sem consentimento, em serviços de assinatura premium;
  • Criar um perfil detalhado da sua vida digital para vendê-lo a anunciantes;
  • Também pode colocar sua segurança física em risco ao monitorar constantemente sua localização, ativar a câmera ou o microfone para transformar seu smartphone em um dispositivo de escuta, criptografar seus arquivos e exigir um resgate, como fazem os ataques de ransomware, ou até instalar outros tipos de malware, incluindo infostealers e spyware.

Os aplicativos de assistentes de inteligência artificial, especialmente aqueles que apenas fingem ser esse tipo de ferramenta, representam um risco crescente em relação às permissões e merecem destaque. Muitos solicitam acesso permanente ao microfone para detectar palavras de ativação, além de permissões para acessar seus contatos, calendário e, em alguns casos, até o conteúdo da tela. Por isso, é importante aplicar às apps de IA o mesmo nível de análise crítica que a qualquer outra categoria, sem se deixar levar pela aparência de ferramenta avançada ou “inteligente”.

Outro campo em que a exposição costuma ser subestimada é o dos dados de saúde e atividade física. Aplicativos que acessam suas métricas corporais, como frequência cardíaca, passos, padrões de sono e treinos, entre outros, podem compartilhar ou vender essas informações, o que pode trazer consequências bastante concretas, desde afetar suas opções de seguro até alimentar o mercado de corretagem de dados.

permissions
Longa lista de permissões solicitadas por um aplicativo de empréstimos enganoso em 2023 (fonte: Equipe de Pesquisa da ESET).

Quais permissões de aplicativos devem acender o sinal de alerta?

As permissões dependem muito do contexto. O que um aplicativo precisa para oferecer a experiência esperada pode ser bem diferente do que outro exige. Ainda assim, há determinadas permissões que quase sempre devem gerar preocupação. Entre elas:

  • Serviços de acessibilidade: também conhecidos como “modo Deus”, podem permitir que desenvolvedores mal-intencionados vejam o que você digita, leiam suas mensagens e até concedam permissões adicionais sem que você perceba. Essa permissão não está disponível de forma nativa no iOS. As versões mais recentes do Android não permitem que aplicativos instalados fora da Play Store a solicitem e, além disso, periodicamente pedem que você confirme se deseja continuar concedendo esse acesso.
  • Localização em segundo plano: pode permitir que um agente malicioso rastreie seu dispositivo por todos os lugares que você frequenta e crie um perfil detalhado da sua rotina. Para mitigar esse risco, tanto o Android quanto o iOS não permitem ativar a opção “permitir sempre” de imediato e solicitam reconfirmação periodicamente.
  • SMS e registros de chamadas: pouquíssimos aplicativos realmente precisam de acesso às suas mensagens de texto ou ao histórico de chamadas. Com esse acesso, um cibercriminoso poderia ler seus códigos de uso único e até sequestrar suas contas. No Android, um app só pode solicitar essas permissões se primeiro se registrar como aplicativo padrão para essa função. O iOS não permite que apps baixados da App Store peçam permissão para “ler SMS” ou “ver histórico de chamadas”.
  • Permissão de sobreposição: permite que um aplicativo exiba uma janela sobre outra que você esteja utilizando, o que pode viabilizar ataques de clickjacking. O Android exige que essa opção seja ativada manualmente em Ajustes > Apps > Acesso especial > Mostrar sobre outros apps. O iOS não possui uma permissão equivalente.

Como gerenciar as permissões dos aplicativos de forma segura

Antes de permitir ou bloquear uma permissão, pense sempre se ela é realmente necessária para que o aplicativo cumpra sua função. Outra boa prática é escolher “permitir uma vez” ou “permitir apenas durante o uso”. Apenas aplicativos de segurança devem ter acesso permanente, 24 horas por dia, todos os dias do ano. Embora muitos aplicativos peçam que você revise suas permissões periodicamente, também é recomendável fazer uma auditoria proativa. Veja como:

iOS

  • Vá em Ajustes > Privacidade e Segurança.
  • Role até o final e ative o Relatório de Privacidade dos Apps.
  • Ali você poderá ver quais aplicativos acessaram seus dados e em que momento.

Outra forma:

  • Vá em Ajustes > Apps.
  • Selecione um aplicativo específico, por exemplo, Instagram.
  • Você verá todas as opções de permissões, como câmera, microfone e contatos. Desative tudo o que não for essencial.

Android

  • Vá em Ajustes > Segurança e Privacidade > Privacidade > Painel de Privacidade.
  • Toque em Visualização de 7 dias, no menu superior direito, para ver quais aplicativos usaram seus sensores na última semana. Esses passos podem variar conforme o fabricante do dispositivo.
  • Se perceber que um app utilizou o microfone às 3h da manhã, toque nesse registro e revogue a permissão imediatamente.

Outra opção, lembrando que os caminhos podem mudar conforme a versão do Android:

  • Vá em Ajustes > Apps > Nome do aplicativo.
  • Verifique se a opção “Gerenciar app se não estiver em uso” ou “Pausar atividade se não estiver em uso” está ativada.
  • Se você não utilizar o aplicativo por alguns meses, o Android revogará automaticamente as permissões, apagará arquivos temporários e desativará as notificações.

Acima de tudo, baixe aplicativos apenas de lojas oficiais, como Google Play ou App Store. Verifique as avaliações antes de instalar e considere utilizar uma solução de segurança móvel de um fornecedor confiável.