SHEIN para Android estaria a recolher dados potencialmente sensíveis
De tempos a tempos, a SHEIN é alvo de algumas controvérsias, sobretudo pela forma como os dados dos utilizadores são tratados dentro da plataforma. Relembrando que, em 2018, a empresa mãe da SHEIN, a Zoetop, foi alvo de duras críticas pelas falhas verificadas sob a gestão de um ataque, onde dados de clientes da empresa terão sido comprometidos.
A investigação deste ataque ainda se prolonga para 2022, com algumas fontes a indicarem que o ataque foi consideravelmente mal gerido pela empresa, e igualmente para o facto que a SHEIN terá tentado desviar a atenção do mesmo para o categorizar de algo menor.
Isto foi verificado com o facto que o tribunal de Novas Iorque aplicou uma coima de 1.9 milhões de dólares pelo ato.
No entanto, na mesma altura em que a resolução deste caso era conhecida, a aplicação da SHEIN recebeu uma atualização, que voltou silenciosamente a levantar algumas questões sob as práticas da empresa.
De acordo com um grupo de investigadores da Microsoft, a aplicação da SHEIN para Android foi atualizada recentemente com algumas funcionalidades que, segundo os investigadores, podem ser consideradas de “”spyware” para marketing.
Segundo os mesmos, a aplicação da SHEIN foi atualizada no final de 2022 para conter, por entre as suas funcionalidades, a capacidade de registar todos os conteúdos copiados para a Área de Transferência do Android.
Ou seja, a aplicação poderia ter acesso a todos os conteúdos que eram copiados e colados dentro do Android, os quais podem conter informação potencialmente sensível, como senhas e emails.
Isto poderá ser consideravelmente prejudicial para a privacidade e segurança dos utilizadores, sobretudo tendo em conta que a app conta com mais de 100 milhões de downloads. Além disso, desconhece-se exatamente qual a utilidade desta função dentro da app, ou para o que a empresa usaria os dados.
De acordo com os investigadores da Microsoft, a aplicação base da SHEIN para Android conta com módulos que são capazes de usar as próprias funcionalidades do Android, em segundo plano, para recolherem todos os conteúdos que são copiados para a Área de Transferência. Estes dados podem ser depois enviados para os sistemas da SHEIN.
A aplicação aparenta encontrar-se focada na recolha de conteúdos que tenham sinais do dólar ou de preços em geral – possivelmente para usar essa informação nas pesquisas dentro da app. O problema encontra-se que nem todos os conteúdos que são copiados para a Área de Transferência do Android com sinais de dólar serão de preços. Alguns utilizadores podem usar senhas que possuem esse sinal – e que serão, dessa forma, recolhidos pela app.
De notar que os investigadores da Microsoft afirmam não ter conhecimento de qualquer uso malicioso desta informação por parte da SHEIN, mas a recolha destes dados pode ser considerada sensível e desnecessária, sobretudo tendo em conta que a informação potencialmente recolhida inclui dados sensíveis e até dados de login dos utilizadores – que muitas vezes copiam essa informação para o sistema.
De notar que a Google também tem vindo a melhorar consideravelmente a segurança dos utilizadores contra ataques que possam ter como ideia roubar estes dados. Nas mais recentes versões do Android existem limites, para as apps, sob que conteúdos podem ser recolhidos da área de transferência. Ainda assim, será estranho de verificar uma app a tentar recolher esta informação dos utilizadores.