Cada vez que instala uma nova aplicação, o smartphone apresenta uma série de pedidos de acesso que a maioria dos utilizadores aceita sem ler. A ESET, maior empresa europeia de cibersegurança, emitiu um alerta a 19 de março de 2026 sobre os riscos reais e crescentes associados a esta prática, com particular destaque para as apps de IA ( aplicações de Inteligência Artificial). O hábito de clicar em “permitir” sem avaliar as implicações pode expor credenciais bancárias, localização em tempo real e o conteúdo do ecrã a terceiros sem o conhecimento do utilizador.
O mecanismo que ninguém lê
Sempre que se instala uma nova aplicação ou ativa uma funcionalidade, o sistema operativo apresenta um pedido de permissão. Este mecanismo funciona como uma “sentinela invisível” que regula o acesso a dados e recursos do dispositivo — mas a sua eficácia depende inteiramente da atenção do utilizador. Embora algumas permissões sejam essenciais para o funcionamento das aplicações, outras são excessivas ou servem propósitos que nada têm a ver com a utilidade declarada da ferramenta.
O perigo das permissões de sobreposição
Um dos vetores de ataque mais sofisticados explorados por aplicações maliciosas é o uso de permissões de sobreposição para executar técnicas de clickjacking. Neste cenário, o utilizador acredita estar a interagir com botões legítimos da interface, mas está na realidade a clicar em elementos invisíveis que autorizam ações em segundo plano. Esta tática subverte os mecanismos de segurança do sistema operativo e facilita a instalação de malware sem levantar suspeitas imediatas.
As apps de IA como novo vetor de risco
A proliferação de aplicações baseadas em Inteligência Artificial introduziu uma nova camada de risco para a privacidade digital. Muitas destas ferramentas solicitam acesso permanente ao microfone, à lista de contactos e até ao conteúdo visível no ecrã do dispositivo. Esta recolha contínua permite a criação de perfis comerciais detalhados e expõe informações sensíveis em caso de interceção ou fuga de dados.
As aplicações de saúde e fitness representam um risco semelhante, ao recolherem dados biométricos com potenciais impactos no mundo real, como a partilha com seguradoras ou entidades terceiras. Em ambos os casos, o utilizador concede as permissões voluntariamente, convicto de que está a interagir com uma aplicação de confiança.
Acessibilidade como vetor de ataque
Originalmente concebidos para apoiar utilizadores com limitações motoras ou visuais, os serviços de acessibilidade oferecem um controlo quase total sobre o smartphone. Quando esta permissão é concedida a uma aplicação não confiável, os atacantes conseguem intercetar códigos SMS de autenticação e monitorizar todas as interações realizadas no dispositivo. Este é frequentemente o mecanismo central utilizado por spyware e ransomware para roubar credenciais bancárias e exigir resgates financeiros.
Níveis de risco das permissões
A avaliação do perigo associado a cada permissão depende do contexto da aplicação e do seu potencial de exploração abusiva.
| Permissão | Nível de Risco | Impacto na Segurança |
|---|---|---|
| Sobreposição de ecrã | Crítico | Permite clickjacking e interação com elementos invisíveis |
| Serviços de acessibilidade | Crítico | Concede controlo total e interceção de SMS de autenticação |
| Microfone e câmara | Alto | Possibilita escuta ativa e ativação remota |
| Localização em segundo plano | Médio/Alto | Permite rastreio físico contínuo e criação de perfis de rotina |
| Registos de SMS e chamadas | Alto | Expõe códigos de segurança e autenticação de dois fatores |
Estratégias de mitigação de risco
A defesa mais eficaz exige uma auditoria regular aos acessos concedidos, através das definições de privacidade disponíveis tanto no Android como no iOS. Ricardo Neves, responsável de Marketing e Comunicação da ESET Portugal, recomenda a aplicação do princípio do privilégio mínimo: “antes de aceitar qualquer permissão, os utilizadores devem questionar se essa autorização é realmente necessária para o funcionamento da aplicação.”
As boas práticas fundamentais incluem:
- Descarregar aplicações apenas de lojas oficiais
- Ler avaliações e comentários de outros utilizadores antes da instalação
- Revogar permissões desnecessárias após a instalação
- Selecionar “permitir apenas durante a utilização” ou “apenas uma vez” sempre que possível
- Atualizar regularmente o sistema operativo e as aplicações instaladas
- Utilizar soluções antimalware de fornecedores reconhecidos
Principais destaques
- As apps de IA solicitam cada vez mais acesso permanente ao microfone, contactos e conteúdo do ecrã.
- Permissões de sobreposição permitem clickjacking — o utilizador clica em elementos invisíveis sem o saber.
- Os serviços de acessibilidade, quando concedidos a apps maliciosas, permitem controlo total do dispositivo.
- A localização em segundo plano possibilita o rastreio físico contínuo sem interação ativa do utilizador.
- A revisão regular das permissões em iOS e Android é a principal linha de defesa individual.
Perguntas Frequentes (FAQ)
Como revogar permissões já concedidas no Android?
Aceda a Definições > Aplicações > [nome da app] > Permissões. Em versões recentes do Android, pode também aceder a Definições > Privacidade > Gestor de Permissões para uma visão global por categoria.
As apps nas lojas oficiais são sempre seguras?
Não necessariamente. A presença numa loja oficial reduz o risco, mas não o elimina. Aplicações com recolha excessiva de dados ou práticas questionáveis já foram identificadas tanto na Google Play Store como na App Store da Apple. A leitura das avaliações e a verificação das permissões solicitadas antes da instalação são passos indispensáveis.
As apps de IA são mais perigosas que as restantes?
Representam um risco emergente e distinto: solicitam permissões de alto impacto (microfone, ecrã, contactos) em nome de funcionalidades legítimas, e os utilizadores tendem a concedê-las com menor resistência por confiarem nas marcas envolvidas.
Outros artigos interessantes:
