Lei do Cibercrime impacta, também, aplicativo móvel

Há mais meandros na aprovação do Projeto de Lei 2793/11, que inclui crimes cibernéticos no Código Penal, do que a invasão histórica de máquinas, via malwares, vírus e ataques de phising. O nível de informação que um aplicativo  móvel requer do smartphone e tablet também pode ser cruciais para um processo criminal contra um desenvolvedor.

O texto, que agora segue para o Senado, prevê prisão de seis meses a dois anos para quem obtiver informações confidenciais por meio de invasão de computadores. A pena também vale para o controle remoto não autorizado do dispositivo invadido. Essa pena poderá ser aumentada, de um terço a dois terços, se houver divulgação, comercialização ou transmissão a terceiro dos dados obtidos.

O desenvolvedor mal intencionado se enquadra em outro ponto, no crime de “devassar dispositivo informático alheio” com o objetivo de mudar ou destruir dados ou informações, instalar vulnerabilidades ou obter vantagem ilícita, o texto atribui pena de três meses a um ano de detenção e multa. Conforme a determinação, será enquadrado no mesmo crime aquele que produzir, oferecer, distribuir, vender ou difundir programa de computador destinado a permitir o crime de invasão de computadores ou de dispositivos como smartphone e tablets.

Vale citar que dados recentes revelam que mais de um terço dos aplicativos Android exige “permissões excessivas”, conseguindo assim acesso a mais dados do que o necessário. Essa descoberta veio de um estudo conduzido pela fornecedora de antivírus norte-coreana AhnLab, que avaliou os 178 aplicativos do sistema operacional “mais bem colocados”, usando seu serviço de escaneamento de segurança baseado em cloud computing. Dos apps avaliados, a empresa descobriu que 43% exigiam informação excessiva do dispositivo, 39% exigiam níveis incomuns de informação de localização, 33% exigiam acesso excessivo a informações pessoais e 8% queriam informações excessivas acerca dos planos de serviço.

À época, Ho Woong Lee, diretor da AhnLab Security E-Response Center, afirmou que isso é preocupante, porque pode  dar acesso a dados bancários e e-mails pessoais ou contatar informações que permitiriam aos invasores clonarem smartphones ou se inscrevem em serviços móveis premium. Alguns aplicativos não apenas contatam, mas também guardam esses dados, muitas vezes de forma não codificada. Além disso, usuários podem não notar malwares que têm como alvo informações armazenadas sendo executadas em plano de fundo.

E ter aplicativos legítimos acessando mais dados do que o necessário parece ser bem comum. Isso não se enquadra somente para apps Android, mas também para apps iOS. Aplicativos sendo executados nas duas plataformas que exigem armazenamento ou compartilhamento excessivo de informações são mais uma preocupação na área de segurança móvel de aparelhos.

De acordo com Rogério Reis, vice-presidente da Arcon, para que o desenvolvedor seja processador, é preciso que o usuário prejudicado entre com uma ação e comprove a culpa dessa pessoa. “ Toda vez que você instala aplicativo, ele avisa, por exemplo: ‘o app deseja usar sua localização. Você permite?’ Se permitir, é o mesmo que um contrato virtual. Mas é diferente um aplicativo dizer ser gerenciamento de software e, na verdade, copiar informações”, ponderou. “Se o programa pega suas informações, arquivos, fotos, vídeos, e-mails… se captura o que você digita, como senhas, isso é crime”, constatou.

Saiba mais:

Com Lei do Cibercrime e consumerização, administrador de rede é ainda mais exposto

Lei do Cibercrime: texto não contempla cloud computing, diz especialista

Cibercrime dá menos dinheiro do que o esperado

Câmara aprova PL que determina crimes cibernéticos

Dia mundial da internet: saiba como se proteger de ameaças online