É seguro usar a Houseparty? O que dizem os profissionais de segurança
Centenas de utilizadores nas redes sociais culpam a aplicação Houseparty por ataques a contas que têm no Netflix, Paypal e Spotify. A aplicação acredita ser uma campanha de difamação paga.
A Houseparty, uma aplicação para o telemóvel que mistura jogos e videoconferências e que se tornou viral nas últimas semanas, nega ter sido pirateada. Em causa estão centenas de publicações de utilizadores no Twitter que, nas últimas 24 horas, começaram a culpar a aplicação pelos alertas de segurança que estão a receber de serviços como o Netflix, Spotify, Instagram e Paypal. A teoria é que os problemas começaram depois de terem instalado a Houseparty e, por isso, a aplicação será a culpada. Muitos utilizadores apagaram a aplicação com medo, embora não exista qualquer ligação directa entre os ataques.
A resposta da Houseparty no Twitter — “Todas as contas estão seguras, o serviço é seguro, nunca foi comprometido, e não guarda palavras-passe para outros sites” — não tranquilizou todos.
Deve-se ter cuidado com a Houseparty?
“Não foi encontrada qualquer evidência que a aplicação possa fazer qualquer uso indevido das permissões que lhe são dadas no processo de instalação”, diz ao PÚBLICO Luís Martins, responsável de cibersegurança na Multicert, depois de uma análise rápida à aplicação feita pela equipa de testes de intrusão da empresa.
Luís Martins alerta, no entanto, que a aplicação tem acesso à localização, Bluetooth, câmara do utilizador (necessário para fazer chamadas), contactos, número de série do telemóvel, armazenamento, entre outros. “A única forma de evitar isto é não instalar muitas aplicações”, nota Luís Martins. “A maioria das aplicações exige o acesso a informação no telemóvel. É preciso ter em atenção ao tipo de informação [que exigem].”
Também Lukas Stefanko, investigador na empresa de cibersegurança ESET, diz não encontrar “quaisquer evidências ou conexão entre o Houseparty, o Paypal ou contas bancárias.” A teoria do profissional é que “provavelmente há utilizadores que estão a conectar os ataques, sem provas de que estão relacionados com a aplicação.”
O que desencadeou as queixas?
Questionada pelo PÚBLICO, a Houseparty diz que está a investigar a origem da informação sobre os ataques. “A nossa investigação mostra que muitos dos tweets originais que estão a espalhar as acusações já foram apagados e algumas contas foram suspensas”, diz Kimberly Baumgarten, directora de Marketing da Epic Games, que é a dona da Houseparty e do videojogo Fortnite, reforçando que a aplicação não encontrou qualquer relação entre os ataques descritos.
“Estamos a investigar indicações de que os rumores recentes foram espalhados por uma campanha de difamação paga para prejudicar a Houseparty”, acrescentou Baumgarten, num outro email, algumas horas depois. A empresa está a oferecer uma recompensa de um milhão de dólares para utilizadores que encontrem provas da investigação.
Embora as preocupações sobre a Houseparty tenham sido partilhadas por centenas de utilizadores, incluindo celebridades, alguns tratavam-se de bots — programas informáticos, disfarçados de utilizadores reais, criados para amplificar ataques sobre alvos pessoais ou colectivos. Normalmente, os bots têm poucos seguidores e poucas publicações, que se focam num só tema (neste caso, o ataque à Houseparty).
Luís Martins, da Multicert, nota ainda que alguns dos problemas de segurança poderão ter vindo de “uma utilização descuidada por parte de alguns utilizadores” que não bloquearam as conversas na aplicação de serem acedidas por utilizadores que não foram convidados. A Houseparty permite que os utilizadores circulem entre várias “festas” (conversas de grupo), a não ser que a festa seja trancada através de um ícone de um cadeado no canto inferior esquerdo.
Quando os utilizadores usam as mesmas credenciais (nome de utilizador e palavra-passe) para aceder a vários serviços, basta que um seja comprometido para os atacantes tentarem usar a combinação em múltiplos serviços (um fenómeno conhecido como credential stuffing, em inglês).
Em caso de dúvida, o que se deve fazer?
Martins diz que a reacção que muitos utilizadores tiveram ao apagar a aplicação não foi incorrecta. “Em caso de dúvida, deve-se desinstalar uma aplicação. Não é prejudicial e pode-se sempre voltar a instalar a aplicação mais tarde”, diz Martins. O profissional recomenda que se instalem mecanismos de protecção (EDR, Endpoint Detection and Responde) que detectam actividade suspeita nos aparelhos e que se tenha atenção aos pedidos da aplicação.
“Por exemplo, é estranho uma aplicação de fotos solicitar acesso aos contactos”, explica Martins. É possível ver quais as permissões que cada aplicação nas definições do telemóvel (em Android siga “Definições > Aplicações e Notificações > Avançadas > Permissões da aplicação” e em iOS “Definições > Privacidade").
Apesar de a Houseparty existir desde 2017, a popularidade da app subiu a pico com a expansão das medidas de contenção da pandemia covid-19 em todo o mundo. De acordo com dados partilhados com o PÚBLICO pelo portal de análise de dados Sensor Tower, a aplicação foi descarregada 91 mil vezes na semana de 13 de Março. Quinze dias antes, o valor de downloads rondava os cem por semana. Para já, não se sabe se os alertas de segurança no Twitter vão afectar a utilização da aplicação, mas a equipa está preocupada.
“É uma situação desanimadora para um serviço como o nosso, que oferece uma conexão cara a cara e empatia nesta época”, resume a responsável de Marketing da EpicGames, Kimberly Baumgarten.
Editado 31/03: Acrescentado resposta da Houseparty sobre campanha de difamação.