À medida que a competição esquenta, os fabricantes de smartphones brigam para atrair desenvolvedores para suas plataformas. Mas alguns desenvolvedores são mais desejáveis que outros. A descoberta de suspeita de malware na loja virtual do Android Market prova que as plataformas móveis tornam-se igualmente atrativas, tanto para criminosos como para os autênticos vendedores de software.

Desde dezembro, mais de 50 aplicativos para Android foram flagrados como potencialmente nocivos. Todos foram publicados por um desenvolvedor identificado apenas como “09Droid”. Os apps eram anunciados como ferramentas de internet banking, feitas sob medida para uma lista de instituições financeiras. Seu verdadeiro propósito, acreditam agora os pesquisadores de segurança, era conduzir os internautas para sites falsos (phishing) e roubo de identidade.

O Google já removeu os apps do “09Droid” de seu mercado online, mas o simples fato de que eles foram listados no site levanta sérias questões sobre a segurança do modelo de distribuição de software das app stores, tal como praticados por Google e outras empresas.

Se os provedores da infraestrutura móvel não agirem rapidamente para restaurar a confiança do consumidor, este incidente poderá significar um golpe fatal no mercado de aplicativos móveis, antes mesmo que ele tenha se estabelecido.

Apple: herói ou vilã?
Todos os fabricantes de smartphones oferecem mercados online para softwares desenvolvidos por terceiros, mas as soluções de que dispõem para segurança variam. A App Store, da Apple, foi o primeiro desses mercados, e permanece como o maior, com mais de 100 mil aplicações disponíveis para download e 3 bilhões  vendidas desde sua inauguração, em 2008.

É dela, também, o modelo de segurança mais rígido. Antes de ser aprovado para venda, o software é cuidadosamente avaliado pela Apple, e não se trata de um mero carimbo. De fato, a intransigência da empresa em alguns procedimentos tem inspirado intensas discussões online.

Não se pode dizer que nunca houve incidentes de malware na plataforma iPhone. Um exemplo recente mudava o papel de parede dos usuários do iPhone para uma foto do veterano cantor Rick Astley. Desde então, especialistas em segurança descobriram pelo menos um caso ativo de malware que pode roubar contatos, e-mail e outros dados dos iPhone.

Mas esses truques só funcionam em iPhones desbloqueados, assim chamados porque foram intencionalmente modificados para aceitar aplicativos de outras fontes que não a App Store. Por causa do risco óbvio de segurança, o desbloqueio de um iPhone viola sua garantia.

O modelo da Apple não deixa de ter seus críticos. Como o número de desenvolvedores que submetem softwares para a App Store tem crescido, o processo de aprovação tem ficado mais lento, levando alguns desenvolvedores a acusarem a Apple de minar seu prazo de entrada no mercado.

E alguns donos de iPhone insistem não ter escolha a não ser desbloquear seus aparelhos, sob a alegação de que a Apple impede a venda, na App Store, de aplicativos legítimos por razões arbitrárias, preciosistas ou obscuras.

Essa situação tem servido de munição aos concorrentes do iPhone, que esperam ganhar fatia de mercado pela oferta de alternativas ao que elas caracterizam como política draconiana e conduzida com pulso de ferro.

No fim do ano passado, a Verizon Wireless comercializou seu mais recente aparelho Android, o Motorola Droid, com o apelo de que o Droid faria tudo que o iPhone não consegue – uma publicidade que agora parece irônica, em pleno surgimento do debate em torno da suspeita de phishing do “09Droid”.

Tudo pela abertura
Talvez nenhum outro vendedor de smartphone tenha apostado tanto sua fortuna na comunidade de desenvolvedores como fez a Palm. Desde o começo, a Palm tem promovido o WebOS como uma alternativa aberta às plataformas proprietárias, incluindo a da Apple.

Em uma decisão audaciosa, ela revelou o Projeto Appetite, uma fundação de software de código aberto na qual os clientes poderiam construir suas próprias lojas independentes de aplicativos WebOS.

Mas, sem qualquer supervisão formal, como os usuários da Palm podem estar certos de que tais lojas não serão usadas para explorar seus smartphones para phishing e outros propósitos nefastos?

As plataformas abertas são atraentes para os desenvolvedores, mas pelo que vimos, os desenvolvedores chegam em todos os sabores. Se os fabricantes de smartphones não forem cuidadosos, eles correrão o risco de repetir os erros da indústria de software do PC, e as plataformas móveis se tornarão o novo Velho Oeste da computação.

À primeira vista, os aplicativos do WebOS parecem ser os mais seguros de todos. Eles são construídos com HTML, CSS e JavaScript, em vez de códigos nativos. Mas em resposta a pressões de desenvolvedores de jogos, a Palm anunciou recentemente um kit de desenvolvimento de plug-in que permite aos programadores construir módulos para aplicativos WebOS usando C e C++, o que aumenta consideravelmente o risco.

O Android OS do Google, por sua vez, é baseado em Java, que é conhecido por seu modelo de segurança “sandbox” (caixa de areia). O Google envolveu especialistas em segurança nas primeiras etapas do processo de criação do Android, na esperança de consertar qualquer vulnerabilidade potencial antes de trazer o OS ao mercado.

Mesmo que a plataforma Android seja completamente livre de bugs – uma afirmação improvável –, os apps “09Droid” são a prova de que o malware não precisa explorar falhas de software para ser perigoso. Usuários crédulos são tão vulneráveis aos ataques de phishing como softwares com defeito.

Mercado regulado
Governança forte é a única solução. As plataformas de código aberto como Android e WebOS convidam à revisão independente do código, mas não é realístico esperar que uma comunidade de código aberto preveja todos os caminhos possíveis de ataque. Muito mais importante é a capacidade de agir rapidamente quando as falhas aparecem, e isso é algo que apenas uma supervisão centralizada poderia oferecer.

O Google fez a coisa certa removendo os apps do “09Droid” do Android Market. Mas o fato de que os alertas de segurança sobre os aplicativos foram divulgados pelos bancos afetados, e não pelo próprio Android Market, foi embaraçoso. Permitir a permanência dessas aplicações na loja por um mês ou mais foi algo imperdoável.

Um grupo de desenvolvedores é um ativo para qualquer plataforma, e parte da força de uma comunidade vem de sua reputação aos olhos dos consumidores. Quando autores de malware conseguem entrar num mercado sem ser percebidos, a perda da confiança do consumidor fere todos os desenvolvedores.

A insistência da Apple em ter uma única App Store pode, de fato, ser draconiana. Os críticos dirão que ela serve a nenhum outro propósito que não o de canalizar a receita para a empresa da maçã. Mas, ao assegurar que todo aplicativo da App Store atingiu seus rigorosos padrões, a Apple forjou um bônus de confiança com os usuários do iPhone que nenhum outro fabricante pode igualar.

Ainda há espaço para que os fabricantes de smartphones concorram com o iPhone, e este caminho é o da inovação. Sacrificar segurança e estabilidade por “abertura”, no entanto, é jogar fora o bebê com a água da bacia.

• # Tópicos
• # Smartphone