Meu pai encheu o telefone dele com aplicativos PDF aleatórios e eu culpo o Google

Numa tarde de primavera, recebi um telefonema da minha mãe. Meu pai estava enfrentando um problema com seu telefone, especificamente com um PDF que não abria. Apesar do pacote de escritório nativo suportar PDFs em seu HONOR de gama média, o documento simplesmente se recusou a carregar. Durante suas tentativas admiráveis, mas equivocadas, de corrigir o problema, ele baixou quatro aplicativos PDF aleatórios, mas com nomes semelhantes, da Play Store. No entanto, como eu descobriria, ele não baixou esses aplicativos deliberadamente – ele foi enganado.

De bloatware a anúncios enganosos e instalações de aplicativos

Baixar esses aplicativos não resolveu o problema. Mesmo com esses aplicativos e o WPS Office pré-instalado à sua disposição, o PDF ainda não abria. Neste ponto, pensei que o próprio documento poderia ser o culpado. De qualquer forma, esse não era um problema simples, que se complicou ainda mais ao tentar diagnosticar por telefone.

Mesmo assim, segui passo a passo, começando com as sugestões usuais de solução de problemas. Eu disse a eles para desinstalar os aplicativos e, em vez disso, baixar um aplicativo bem estabelecido, como o Adobe Reader. Mesmo que não seja a melhor solução, sei que funciona e seria difícil confundi-la com outra coisa. Isso pareceu funcionar por um tempo.

Alguns dias depois, meu pai me liga com o mesmo problema. No entanto, desta vez ele mencionou algo significativo. Ele recebia uma mensagem de alerta após cada tentativa: “Não foi possível ler o arquivo. Tente atualizar seu aplicativo PDF”, com um botão “Atualizar agora” anexado. Você pode ver a imagem abaixo. Isso parece bastante oficial para um usuário desavisado, certo? Quase como um alerta de sistema com instruções que, se seguidas, resolveriam o problema, certo? Bem, não.

Como você deve ter percebido, o alerta era uma propaganda e, ao perceber isso, tudo se encaixou para mim.

Cada vez que meu pai tentava abrir um PDF, a tela inicial do WPS Office aparecia, exibindo o anúncio disfarçado de mensagem do sistema, conforme descrito acima. Ele tocava e o anúncio o direcionava para um novo leitor de PDF; ele então faria o download, esperando que isso resolvesse seu problema. Ele pensou que estava fazendo a coisa certa, mas em vez disso, estava sendo enganado.

Ironicamente, o que resolveu o problema de vez foi desinstalar o Office do telefone do meu pai. Depois disso, a tela inicial que exibia o “alerta” não apareceu mais e os PDFs foram abertos sem problemas.

Felizmente, esta provação acabou por revelar-se uma valiosa experiência de aprendizagem. Não houve informações roubadas ou repercussões financeiras, e o telefone do meu pai funciona normalmente até hoje. No entanto, fiquei bastante chateado.

Transferir culpa aqui é difícil. Sim, meu pai tinha a agência aqui, mas não posso culpar explicitamente um usuário que não está familiarizado com as armadilhas do Android por cair em uma delas. De acordo com um relatório recente do Malwarebytes, apenas 15% dos usuários amostrados se sentem confiantes para identificar golpes. Não preciso reiterar que isso é terrivelmente baixo.

Estou ciente de que gerenciar aplicativos e anúncios em milhões de dispositivos pode ser uma tarefa desafiadora. Suprimir conteúdo malicioso é como brincar de golpe digital. Mesmo assim, fiquei zangado com o WPS Office por colocar este anúncio. Fiquei furioso com o HONOR por incluir um aplicativo padrão abaixo da média que exibia anúncios enganosos, muito parecidos com a comida do refeitório do dia anterior. Mas a empresa com a qual fiquei mais prejudicado é o Google.

É muito fácil cair em anúncios fraudulentos no Android para que os OEMs do Android instalem aplicativos de baixa qualidade em seus dispositivos e para que aplicativos pré-fabricados proliferem e prosperem na Play Store. Isso não é novidade, no entanto.

Por mais de uma década, a Google Play Store tem sido um paraíso para shovelware, como demonstrado pelos nebulosos e pré-fabricados produtos em PDF que meu pai baixou.

De acordo com um relatório recente da empresa de segurança Zscaler (via BipandoComputador), o repositório de aplicativos do Google ainda contém centenas de aplicativos maliciosos que abrigam trojans e backdoors, afetando os usuários anualmente. Embora a empresa esteja planejando restringir desenvolvedores não verificados no Android na esperança de que isso reforce a plataforma, a chamada vem claramente de dentro de casa. A Play Store e os aplicativos nela contidos precisam ser vistos com um microscópio muito mais forte.

Para ser o mais equilibrado possível, não é como se o Google ficasse parado enquanto aplicativos maliciosos passam por ele. A empresa investiga ativamente seu repositório e seleciona aplicativos maliciosos. O exemplo mais recente disso ocorreu em março, quando foram removidos mais de 180 aplicativos com um total combinado de 56 milhões de downloads, todos considerados cúmplices de fraude publicitária. Isso é ótimo, mas infelizmente o mesmo problema persiste há uma década e os esforços do Google não parecem estar causando um impacto significativo.

Mesmo que o Google não consiga proteger todos os usuários de aplicativos nefastos, ele pode pelo menos tornar a Play Store mais segura e fácil para usuários mais casuais. Mesmo sendo alguém que ganha a vida explorando isso, acho que sua interface de usuário é opressora e muitas vezes confusa; seus recursos de pesquisa são extraviados e direcionados incorretamente, e seus anúncios, disfarçados de listagens de aplicativos genuínas, enganam os usuários para que baixem aplicativos que eles nem estavam procurando.

Embora os aplicativos PDF que meu pai baixou não parecessem inerentemente perigosos, eles certamente poderiam ser. Isto destaca a outra questão importante em jogo: práticas publicitárias enganosas.

Os anúncios não são inerentemente maus. Quando as taxas de assinatura e os pagamentos únicos são desaprovados, os anúncios oferecem aos desenvolvedores uma maneira estável de ganhar a vida. A publicidade é uma necessidade. No entanto, quando esse requisito é abusado por malfeitores que enviam conteúdo fraudulento a usuários desavisados, é necessário traçar um limite. O bloqueio de anúncios está rapidamente se tornando uma medida de segurança necessária.

Irritantemente, isso não seria um problema se o Google tratasse suas políticas de publicidade como regras e não como diretrizes. Em sua página de requisitos de anúncios de aplicativos públicos, o Google observa que os anúncios em aplicativos Android “devem solicitar ao usuário a ação esperada sempre que as opções forem confusas ou ambíguas”. O aparente alerta do sistema que meu pai encontrou não fez nada disso.

Finalmente, não vamos esquecer o outro elefante na sala: o bloatware. Meu pai não entende de aplicativos, nem milhões de usuários do Android. Ele usará qualquer aplicativo disponível, mesmo que a opção pré-instalada exiba anúncios duvidosos. Notavelmente, levei algum tempo para determinar a origem do anúncio. Você pensaria que os aplicativos padrão instalados em um telefone que acabou de comprar não o desviariam do caminho.

Os OEMs devem seguir padrões mais elevados e garantir que os aplicativos disponibilizados imediatamente cumpram as políticas de publicidade do Google. O Google certamente poderia exercer mais pressão sobre os OEMs também nesse aspecto.

Eu seria ingênuo se sugerisse que o Google e os OEMs poderiam consertar o Android da noite para o dia. Na verdade, esses problemas persistiram por mais de uma década e pioraram com o tempo. Usuários experientes do Android podem estar bem cientes das armadilhas que estão à espreita no Android, mas elas estão escondidas daqueles que não as conhecem melhor. Por mais que seja responsabilidade do Google “fazer melhor”, também temos o poder de ajudar outros a lidar com essas questões.

Aqui estão algumas das melhores maneiras de preparar esses usuários contra esses cenários.

Desinstale o máximo de bloatware possível

A primeira coisa que eu deveria ter feito no telefone do meu pai era desinstalar o bloatware e instalar alternativas confiáveis. Infelizmente, eu não estava disponível quando ele configurou o dispositivo. No entanto, se você tiver a oportunidade de fazer isso por um amigo ou familiar, aproveite.

Na realidade, uma solução melhor seria comprar um smartphone de um OEM que não pré-carregasse muitos aplicativos carregados de anúncios em seus dispositivos, mas em retrospectiva é 20/20.

Educar, educar, educar

Em seguida, é essencial educar mais usuários casuais sobre o Android – incluindo como os anúncios são utilizados na plataforma, por que o altruísmo não é o objetivo de todo desenvolvedor, como usar a Play Store de maneira eficaz e quais produtos valem a pena instalar, entre outros aspectos importantes. Também é vital ajudá-los a identificar uma fraude.

No caso do meu pai, destacar os detalhes que um anúncio pode ter, em oposição a um alerta do sistema, o ajudará a tirar suas próprias conclusões no futuro.

Para evitar totalmente os anúncios no aplicativo, sugiro empregar minha solução: instalar um bloqueador de anúncios em todo o sistema em seus telefones.

Eu uso o Blokada, que configura uma VPN interna e filtra o tráfego com base nas correspondências da lista de bloqueios, mas há uma série de outras opções. A opção mais fácil é usar o recurso DNS privado integrado do Android. Se você deseja bloquear o acesso de determinados aplicativos à Internet, o NetGuard é uma boa opção.

Revise as configurações de permissão

Finalmente – e não posso enfatizar isso o suficiente ao discutir isso com amigos e familiares – revise regularmente suas configurações de permissões. Eu costumava fazer isso regularmente para meus pais enquanto ainda morava em casa, e é tão simples quanto ver quais aplicativos podem acessar seu microfone, câmera e outras permissões essenciais.

Para garantir que os aplicativos não ultrapassem os limites, retire quaisquer permissões perdidas a cada mês ou mais.

Embora meus pais agora estejam bem cientes das armadilhas do Android, estou contando os dias até que vejam um anúncio disfarçado de alerta essencial do sistema. Desta vez, acho que meu pai saberá exatamente o que fazer.

Embora seja prerrogativa do usuário educar-se sobre os riscos potenciais ao usar o Android (e de fato o mundo digital), também cabe aos OEMs e ao Google ajudar a proteger esses usuários da melhor maneira possível. Os OEMs devem garantir que o software pré-instalado que carregam em seus dispositivos seja pelo menos verificado e confiável. Enquanto isso, o Google tem a responsabilidade de remover aplicativos de baixa qualidade da Play Store e reprimir as empresas que abusam do sistema de anúncios.