Os aplicativos móveis coletam mais dados do que a maioria dos usuários espera. Os desenvolvedores correm para personalizar experiências, treinar Modelos de IA e otimizar a receita. Essa pressão faz com que muitos aplicativos agarrem o máximo dados comportamentais possível.
Durante uma investigação recente do NowSecure, analisamos o sistema alimentado por IA Phia aplicativo de compras para iOS e descobriu como recursos úteis podem rapidamente se transformar em excesso de dados invasivos. Com um pedido de permissão, a extensão Safari do aplicativo ganhou a capacidade de injetar código em milhares de sites, monitorar a atividade de navegação e coletar sinais do próprio dispositivo.
Para as empresas, esta tendência cria sérias privacidade, conformidade e exposição de segurança. Antes que as equipes criem ou aprovem o próximo aplicativo, elas precisam ter visibilidade sobre o que esses aplicativos realmente coletam e como funcionam nos bastidores. Phia é um aplicativo de compras em rápido crescimento que ajuda os usuários a comparar preços em milhares de sites de varejo e revenda.
Um exemplo real de superação de dados
Para mostrar como isso funciona no mundo real, investigamos a extensão iOS Safari Web vinculada que acompanha o aplicativo de compras móvel Phia. Nossa análise revelou práticas agressivas de coleta de dados que refletem — e em alguns casos, excedem — as capacidades previamente identificadas em Análise de extensão do Chrome.
O aplicativo iOS apresenta características semelhantes. O aplicativo injeta JavaScript, permite rastreamento persistente e pode coletar dados confidenciais em uma ampla variedade de sites, dependendo de como os usuários o configuram.Abaixo está um detalhamento do que encontramos. Você pode encontrar os artefatos de análise completos aqui.
Os aplicativos móveis agora coletam muito mais dados do que os usuários imaginam – e a lacuna continua aumentando.
Resumo da extensão do Chrome
O pesquisador de segurança Maahir Sharma documentou que a extensão Phia Desktop Chrome fez chamadas GraphQL para logCompleteHtmlToGcsenviando conteúdo HTML compactado GZIP de cada página visitada para o Google Cloud Storage. A estrutura de carga útil da API confirmou esse comportamento.
A extensão background.js continha uma função que executava esse comportamento de registro em cada visita à guia, criando efetivamente um arquivo completo do histórico de navegação dentro da infraestrutura em nuvem do Phia.
Análise de extensão iOS Safari
Nossa análise mostra que a extensão Safari Web incluída no aplicativo iOS tem recursos quase idênticos aos da extensão Chrome. Baseamos esta conclusão na análise estática da extensão manifesto.json (que usa o Formato WebExtensionscom algumas diferenças no iOS) e análise dinâmica do aplicativo em execução.
Comparação de Manifesto
| Área de Manifesto | Comportamento do Chrome | Comportamento do Safari iOS | Implicações técnicas |
content_scripts.matches |
|
O Safari avisa o usuário; uma vez concedidos, os scripts são executados em todas as navegações | Acesso DOM completo de todos os sites concedidos |
content_scripts.world |
Executa no contexto da página | Honras do Safari MAIN injeção mundial no iOS 15+ |
Os scripts compartilham o heap JS da página, permitindo acesso a credenciais |
background.scripts |
As páginas de eventos são ativadas em mensagens | Safari converte scripts de segundo plano em manipuladores de eventos via SFExtensionManager | Persistência através do aplicativo host mesmo quando o Safari é fechado |
Lista de permissões do lado do servidor
Durante o uso, a extensão Safari carrega um whitelist.json arquivo contendo duas listas:
- Exclusões: ~ 60 domínios, principalmente para provedores de e-mail e serviços bancários
- Lista de permissões: aproximadamente 29.000 sites de varejo e compras com padrões de URL correspondentes.
Apesar da tentativa de criar uma lista de permissões com exclusões e domínios permitidos, o aplicativo ainda coletou dados de sites não aprovados explicitamente e não está claro se esse comportamento foi intencional. De qualquer forma, resulta na recolha de dados mais sensíveis do que a maioria dos utilizadores esperaria.
Principais observações de segurança do manifesto
- Quatro scripts separados são executados em cada página permitida, um no mundo MAIN (isolamento reduzido).
- A extensão usa Manifest V2, que o Chrome descontinuou, mas o Safari ainda oferece suporte.
- Uma política de segurança de conteúdo permissiva permite
unsafe-evalpermitindo a execução de código arbitrário. - web_accessible_resources expõe todos os arquivos de extensão
("*")para sites, permitindo o potencial anonimato do usuário. - Uma ponte de aplicativo nativo permite a comunicação de conteúdo da web → extensão → aplicativo iOS nativo.
- Permissões combinadas
(webRequest + cookies +metadados de rede e visibilidade de cookies em todos os sites concedidos.) provide
A análise completa do manifesto está disponível aqui.
Observações de aplicativos iOS
Impressão digital de aplicativos instalados
O Info.plist do aplicativo Phia declara a intenção de consultar 78 esquemas de URL associados a aplicativos comuns de varejo e compras:
Na inicialização, os registros do sistema mostram que o aplicativo tenta carregar tantos desses esquemas quanto o iOS permitir, provavelmente para identificar quais aplicativos de compras os usuários instalaram:
Configurações de segurança de transporte de aplicativos
O iOS impõe transporte de rede seguro por padrão por meio de requisitos rígidos de TLS. O aplicativo Phia desativa essas proteções globalmente em seu Info.plist, removendo as proteções padrão da Apple para tráfego de rede:
Por que isso é importante para CISOs e líderes de AppSec
Esta análise mostra como um único aplicativo gratuito pode obter visibilidade profunda da atividade de navegação, comportamento do dispositivo e padrões de rede de um usuário. À medida que os aplicativos e extensões móveis se tornam mais poderosos, a lacuna entre o que os usuários esperam e o que os aplicativos realmente coletam continua a aumentar.
As empresas precisam de visibilidade mais forte, proteções mais claras e automação testes de segurança de aplicativos móveis e teste de privacidade para salvaguardar a superfície de ataque em expansão. O risco dos aplicativos móveis não é hipotético: ele afeta todas as organizações que fabricam ou usam aplicativos móveis.
Dê o próximo passo e descubra como o NowSecure ajuda as equipes móveis de AppSec e DevSecOps a detectar excesso de dados e proteger os aplicativos que criam e implantam.
Agradecimentos especiais a Dawn Isabel por contribuir para esta análise.
