O smartphone sabe demasiado sobre si: o perigo escondido nas permissões das apps

O telemóvel vibra, surge uma notificação. A app pede acesso à câmara, ao microfone, aos contactos. O dedo pressiona “permitir” quase sem pensar. Esse gesto automático, repetido dezenas de vezes por mês, pode estar a abrir a porta aos seus dados mais sensíveis.

A sentinela invisível que poucos param para ler

Sempre que se instala uma aplicação ou ativa uma funcionalidade, surge um pedido de permissão que funciona como uma sentinela invisível, regulando o acesso a dados e recursos do dispositivo. O problema é que a maioria dos utilizadores continua a clicar em “permitir” sem avaliar o que está realmente a autorizar.

As permissões dividem-se em categorias. Algumas são essenciais para o funcionamento básico da app, outras são excessivas. E há ainda aquelas que são diretamente maliciosas. O resultado deste descuido? Acesso potencial a contactos, localização em tempo real, mensagens, ficheiros pessoais, microfone e câmara do dispositivo.

Os números mostram a dimensão do problema. Em 2025, a Google bloqueou 1,75 milhões de aplicações que infringiam as regras da Play Store, um valor inferior aos 2,36 milhões do ano anterior. A redução não significa que há menos ameaças, apenas que as barreiras de segurança ficaram tão elevadas que muitos atacantes desistem antes de tentar.

Os riscos reais de um clique apressado

Conceder permissões sem critério expõe os utilizadores a cenários concretos de risco. O roubo de palavras-passe e credenciais bancárias acontece quando apps maliciosas acedem aos serviços de acessibilidade do telemóvel. A interceção de códigos SMS de autenticação permite contornar a verificação em duas etapas. A monitorização da localização em tempo real transforma o smartphone num dispositivo de rastreamento permanente.

Em 2025, foram travadas 255 mil apps que tentavam aceder em excesso a informação sensível dos utilizadores, um valor bem abaixo dos 1,3 milhões do ano anterior. Este dado revela que os maus padrões estão a perder força, mas também que centenas de milhares de apps continuam a tentar ultrapassar os limites da privacidade.

A criação de perfis detalhados para fins comerciais é outra consequência direta. Apps aparentemente inofensivas recolhem dados de navegação, preferências de compra, hábitos de sono e até padrões de escrita no teclado. Estes dados alimentam um mercado paralelo onde a informação pessoal é vendida a corretores de dados.

A ativação remota de microfone e câmara já não é ficção científica. Permissões excessivas permitem que determinadas apps acedam a estes sensores sem alertar o utilizador. A instalação de malware, como spyware ou ransomware, completa o quadro de ameaças. O ransomware encripta ficheiros pessoais e exige um resgate para os libertar.

Veja também Vírus, malware e spyware: qual a diferença e como evitá-los

A nova ameaça: assistentes de inteligência artificial

As aplicações de assistentes de inteligência artificial surgem como uma preocupação emergente, solicitando acesso permanente ao microfone, contactos e até ao conteúdo do ecrã. A promessa de conveniência esconde um modelo de negócio que depende do processamento constante de dados pessoais.

Uma nova vaga de apps com IA exige acesso contínuo a dados sensíveis, como conversas privadas, localização em tempo real e arquivos pessoais. A Meta, por exemplo, testa funcionalidades com inteligência artificial que pedem acesso a fotos armazenadas no dispositivo antes de serem partilhadas online.

O problema não está apenas na recolha de dados, mas principalmente no que acontece quando o sistema falha. Em casos de falha, funcionários humanos podem ter acesso direto ao conteúdo processado pelas IAs para investigar o erro. A confidencialidade prometida desaparece quando um técnico precisa de resolver um problema.

Apps de saúde e fitness representam outra área de exposição significativa. Dados sobre frequência cardíaca, passos, padrões de sono e treinos podem ser partilhados ou vendidos. As consequências vão além da publicidade direcionada, pois, podem afetar opções de seguro de saúde ou alimentar mercados de corretagem de dados sensíveis.

Veja também Meta AI quer aceder às fotos dos utilizadores: o que está em jogo?

Permissões que devem acionar o alerta vermelho

Certos pedidos de acesso exigem atenção redobrada. Por exemplo, os serviços de acessibilidade permitem controlo quase total sobre o dispositivo. Foram criados para ajudar utilizadores com necessidades especiais, mas apps maliciosas exploram estas permissões para registar toques no ecrã, ler palavras-passe e executar ações sem consentimento.

A localização em segundo plano possibilita rastreamento contínuo mesmo quando a app não está a ser utilizada. Um jogo simples não precisa de saber onde está o utilizador quando o ecrã está bloqueado. Os registos de SMS e chamadas expõem códigos de segurança enviados por bancos e outros serviços. Uma app de meteorologia não tem razão legítima para aceder ao histórico de mensagens.

As permissões de sobreposição facilitam ataques conhecidos como clickjacking. A app cria uma camada invisível sobre outros elementos do ecrã. O utilizador pensa que está a pressionar um botão legítimo, mas está na verdade a autorizar uma ação maliciosa escondida por baixo.

Google reforça defesas mas o utilizador continua a ser o elo mais fraco

A partir de setembro de 2026, o Google exigirá que todos os desenvolvedores Android sejam verificados para que os aplicativos possam ser instalados em dispositivos certificados no Brasil, Indonésia, Singapura e Tailândia. Nos restantes países, a medida será implementada gradualmente a partir de 2027.

A verificação funciona como um controlo de identidade no aeroporto. Confirma quem é o programador, mas não analisa o conteúdo da app. O objetivo é criar responsabilidade. Dificulta que alguém distribua rapidamente outra app maliciosa depois de a primeira ter sido removida.

O Google Play Protect identificou mais de 27 milhões de novas apps maliciosas em 2025, bloqueando a execução ou avisando o utilizador antes do estrago. A cobertura de proteção foi alargada a 2,8 mil milhões de dispositivos em 185 mercados.

Cada app passa agora por mais de 10 mil verificações de segurança e continua a ser reavaliada mesmo depois de publicada. Os modelos de inteligência artificial generativa não substituem pessoas, mas dão-lhes ferramentas para detetar padrões maliciosos com maior rapidez e precisão.

Como retomar o controlo sobre as suas permissões

A primeira linha de defesa passa por questionar cada pedido. Uma calculadora que solicita acesso ao microfone e à câmara não precisa dessas permissões para funcionar. Um jogo que pede acesso aos contactos está provavelmente a tentar algo mais do que entreter.

Sempre que possível, selecionar opções como “permitir apenas durante a utilização” ou “apenas uma vez” reduz a janela de exposição. A localização permanente raramente é necessária. A maioria das apps funciona perfeitamente com acesso temporário.

Rever regularmente as permissões concedidas é uma prática essencial. Tanto iOS como Android oferecem ferramentas de privacidade que mostram as apps que acederam recentemente ao microfone, câmara ou localização. Quando não se usa uma app por algum tempo, o Android redefine automaticamente as suas permissões.

Revogar permissões desnecessárias é simples. Nas definições do dispositivo, aceder a “Privacidade” ou “Permissões” e rever app por app. Uma aplicação de lanterna não precisa de saber a localização. Uma rede social não necessita de acesso permanente ao microfone.

Descarregar apps apenas de lojas oficiais reduz significativamente o risco. A Google Play Store e a App Store da Apple verificam as aplicações antes de as disponibilizar, embora não sejam infalíveis. Ler avaliações e comentários de outros utilizadores ajuda a identificar comportamentos suspeitos.

Atualizar regularmente o sistema operativo e as aplicações é fundamental. As atualizações corrigem falhas de segurança conhecidas. Adiar estas atualizações deixa o dispositivo vulnerável a ataques que já têm solução disponível.

A decisão final continua nas mãos do utilizador

Muitos riscos são mitigados não por ações do utilizador, mas por sistemas inteligentes que atuam de forma preventiva. Os smartphones mais recentes integram monitorização contínua de aplicações, analisando comportamentos suspeitos como acesso excessivo a dados ou tentativas de comunicação com servidores desconhecidos.

A biometria adaptativa analisa o contexto de uso antes de permitir o acesso. Se o sistema detetar uma localização não habitual ou um horário atípico, pode exigir autenticação adicional. O isolamento de dados torna-se mais sofisticado, mantendo informações sensíveis totalmente separadas do sistema principal.

Mas a tecnologia sozinha não resolve o problema. A decisão de conceder ou recusar uma permissão continua nas mãos do utilizador. Estar informado, agir de forma consciente e questionar cada pedido são passos fundamentais para proteger a vida digital. O smartphone sabe exatamente aquilo que o utilizador lhe permite saber, nada mais, nada menos.