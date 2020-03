A Houseparty, uma aplicação para o telemóvel que mistura jogos e videoconferências e que se tornou viral nas últimas semanas, nega ter sido pirateada. Em causa estão centenas de publicações de utilizadores no Twitter que, nas últimas 24 horas, começaram a culpar a aplicação pelos alertas de segurança que estão a receber de serviços como o Netflix, Spotify, Instagram e Paypal. A teoria é que os problemas começaram depois de terem instalado a Houseparty e, por isso, a aplicação será a culpada. Embora não exista qualquer ligação directa entre os ataques, muitos utilizadores já apagaram a aplicação com medo de terem a sua informação comprometida.

A resposta da Houseparty no Twitter — “Todas as contas estão seguras, o serviço é seguro, nunca foi comprometido, e não guarda palavras-passe para outros sites” — não convence todos.

Deve-se ter cuidado com a Houseparty?

“Não foi encontrada qualquer evidência que a aplicação possa fazer qualquer uso indevido das permissões que lhe são dadas no processo de instalação”, diz ao PÚBLICO Luís Martins, responsável de cibersegurança na Multicert, depois de uma análise rápida à aplicação feita pela equipa de testes de intrusão da empresa. Luís Martins alerta, no entanto, que a aplicação tem acesso à localização, Bluetooth, câmara do utilizador (necessário para fazer chamadas), contactos, número de série do telemóvel, armazenamento, entre outros. “A única forma de evitar isto é não instalar muitas aplicações”, nota Luís Martins. “A maioria das aplicações exige o acesso a informação no telemóvel. É preciso ter em atenção ao tipo de informação [que exigem].”

Também Lukas Stefanko, investigador na empresa de cibersegurança ESET, diz não encontrar “quaisquer evidências ou conexão entre o Houseparty, o Paypal ou contas bancárias.” A teoria do profissional é que “provavelmente há utilizadores que estão a conectar os ataques, sem provas de que estão relacionados com a aplicação.”

O que desencadeou as queixas?

Quando os utilizadores usam as mesmas credenciais (nome de utilizador e palavra-passe) para aceder a vários serviços, basta que um seja comprometido para os atacantes tentarem usar a combinação em múltiplos serviços (um fenómeno conhecido como credential stuffing, em inglês).

Questionada pelo PÚBLICO, a Houseparty diz que está a investigar a origem da informação sobre os ataques. “A nossa investigação mostra que muitos dos tweets originais que estão a espalhar as acusações já foram apagados e algumas contas foram suspensas”, diz Kimberly Baumgarten, directora de Marketing da Epic Games, que é a dona da Houseparty e do videojogo Fortnite, reforçando que a aplicação não encontrou qualquer relação entre os ataques descritos. “Como regra geral, sugerimos que todos os utilizadores escolham senhas fortes ao criar contas online em qualquer plataforma”, recomenda Baumgarten.

Embora as preocupações sobre a Houseparty tenham sido partilhadas por centenas de utilizadores, incluindo celebridades, alguns tratavam-se de bots — programas informáticos, disfarçados de utilizadores reais, criados para amplificar ataques sobre alvos pessoais ou colectivos. Normalmente, os bots têm poucos seguidores e poucas publicações, que se focam num só tema (neste caso, o ataque à Houseparty).

Luís Martins, da Multicert, nota ainda que alguns dos problemas de segurança poderão ter vindo de “uma utilização descuidada por parte de alguns utilizadores” que não bloquearam as conversas na aplicação de serem acedidas por utilizadores que não foram convidados. A Houseparty permite que os utilizadores circulem entre várias “festas” (conversas de grupo), a não ser que a festa seja trancada através de um ícone de um cadeado no canto inferior esquerdo.

Em caso de dúvida, o que se deve fazer?

Mesmo que a Houseparty não apresente problemas de segurança, Martins diz que a reacção que muitos utilizadores tiveram ao apagar a aplicação não foi incorrecta. “Em caso de dúvida, deve-se desinstalar uma aplicação. Não é prejudicial e pode-se sempre voltar a instalar a aplicação mais tarde”, diz Martins. O profissional recomenda que se instalem mecanismos de protecção (EDR, Endpoint Detection and Responde) que detectam actividade suspeita nos aparelhos e que se tenha atenção aos pedidos da aplicação.

O melhor do Público no email Subscreva gratuitamente as newsletters e receba o melhor da actualidade e os trabalhos mais profundos do Público. Subscrever ×

“Por exemplo, é estranho uma aplicação de fotos solicitar acesso aos contactos”, explica Martins. É possível ver quais as permissões que cada aplicação nas definições do telemóvel (em Android siga “Definições > Aplicações e Notificações > Avançadas > Permissões da aplicação” e em iOS “Definições > Privacidade").

Apesar de a Houseparty existir desde 2017, a popularidade da app subiu a pico com a expansão das medidas de contenção da pandemia covid-19 em todo o mundo. De acordo com dados partilhados com o PÚBLICO pelo portal de análise de dados Sensor Tower, a aplicação foi descarregada 91 mil vezes na semana de 13 de Março. Quinze dias antes, o valor de downloads rondava os cem por semana. Para já, não se sabe se os alertas de segurança no Twitter vão afectar a utilização da aplicação, mas a equipa está preocupada.

“É uma situação desanimadora para um serviço como o nosso, que oferece uma conexão cara a cara e empatia nesta época”, resume a responsável de Marketing da EpicGames, Kimberly Baumgarten.