O FBI emitiu esta semana um aviso público que deveria colocar em alerta a qualquer pessoa que use o seu telefone como centro de vida digital: as aplicações desenvolvidas fora dos Estados Unidos, e em particular as originárias da China, podem representar riscos reais para a privacidade e a segurança dos dados pessoais. Não se trata de uma campanha de pânico, mas de uma chamada de precaução sobre como essas aplicações coletam, armazenam e, em alguns casos, compartilham informações sensíveis.
Em seu comunicado publicado na plataforma da Internet Crime Complaint Center (IC3), a agência recorda que muitas das aplicações mais descarregadas e rentáveis no mercado dos EUA são criadas e mantidas por empresas estrangeiras. O ponto central do aviso é que os quadros jurídicos e técnicos de outros países podem permitir ao Estado aceder a dados que, quando estão alojados ou processados lá, ficam fora do controle direto daqueles que os geram. O FBI expõe que, segundo as políticas de privacidade de várias aplicações, os dados coletados podem residir em servidores localizados no estrangeiro e permanecer lá “o tempo que os desenvolvedores considerem necessário”; além disso, algumas plataformas condicionam seu funcionamento a que o usuário aceite compartição ampla dessa informação. Você pode ler o comunicado completo na web do IC3: https://www.ic3.gov/PSA/2026/PSA260331.
Quais são os riscos concretos? O FBI adverte práticas observadas em diversas aplicações que incluem coleta contínua de dados, mesmo quando o usuário limitou as permissões a "apenas enquanto a app está ativa", acesso por omissão à agenda de contatos (com nomes, telefones e e-mails), e armazenamento de informações de identificação em servidores que poderiam estar sujeitos a legislações nacionais diferentes das leis de privacidade dos EUA. Essas circunstâncias aumentam a possibilidade de os dados serem utilizados para fins que os usuários não aprovaram explicitamente.
Este aviso chega em um contexto político e regulatório já tenso: em paralelo às preocupações de fluxo de dados, em 2026 foi decretada uma reestruturação operacional de TikTok nos Estados Unidos, que buscou evitar uma proibição mediante a transferência de controle operacional para uma empresa conjunta majoritariamente americana, conforme informou Reuters. Episódios como esse mostram que as preocupações de segurança nacional e dados não são apenas hipotéticas, mas influenciam decisões empresariais e legislativas.
Ao explicar por que razão os governos podem exigir acesso, os especialistas referem frequentemente que muitas jurisdições possuem normas de inteligência ou segurança nacionais que facultam às autoridades a solicitarem cooperação às empresas tecnológicas. Essa possibilidade não implica necessariamente que todas as apps originárias de um país sejam maliciosas, mas introduz um vetor de risco adicional que os usuários e as organizações devem avaliar.
Do ponto de vista prático, há hábitos simples e efetivos para reduzir a exposição: revisar e limitar permissões de forma consciente, evitar instalar aplicativos de fontes não oficiais, manter o sistema operacional e apps atualizados, e monitorar o comportamento incomum do dispositivo ou das contas vinculadas. Também vale a pena aproveitar as ferramentas que as plataformas oferecem para conhecer quais dados recolhem uma app: Por exemplo, a Apple publica rótulos de privacidade na App Store e Google exige que os desenvolvedores declarem suas práticas na seção “Data safety” do Google Play. Mais informações sobre essas ferramentas estão disponíveis nas páginas oficiais da Apple e Google: Apple - App Privacy e Google Play - Data safety.
Em matéria de senhas, o FBI sugere alterá-las regularmente, mas os especialistas em segurança recomendam uma abordagem mais moderna: usar um gestor de senhas para gerar e armazenar credenciais únicas e robustas, e ativar a autenticação de dois fatores sempre que possível. Entre os gestores mais conhecidos estão Bitwarden e 1Password, que facilitam criar senhas complexas sem depender da memória e reduzem o risco de reutilizar credenciais.
Nem todo o problema é exclusivo de jurisdições ou empresas específicas: a arquitetura técnica de móveis e permissões evoluiu para dar maior controle ao usuário, mas a realidade demonstra que muitas aplicações ainda pedem mais acesso do necessário ou recolhem informações com configurações por defeito demasiado permissivas. Além disso, a forma como essas aplicações gerem os dados — que conservam, durante quanto tempo e com quem os compartilham — costuma estar documentada em políticas que poucos leem e que nem sempre são fáceis de interpretar.
Se suspeitar que uma aplicação tenha comprometido suas informações pessoais ou detectar atividade estranha ligada a uma aplicação estrangeira, o FBI solicita que o denuncie através da plataforma IC3. Também é recomendável fechar sessão em serviços importantes, verificar movimentos em contas bancárias e cartões, mudar senhas com um gestor seguro, e, em caso de uma afectação relevante, consultar o fornecedor do serviço ou um profissional de cibersegurança.
Em paralelo com as recomendações individuais, há um debate mais amplo sobre transparência e controlos: algumas propostas regulamentares apostam em auditorias independentes, requisitos de localização de dados ou estruturas de controlo que evitem a influência do Estado em operações críticas de plataformas globais. A experiência mostra que as soluções técnicas, legais e comerciais devem ser combinadas para mitigar riscos sem cortar de raiz a inovação ou a concorrência internacional.
Em suma, a advertência do FBI não é um convite para eliminar por decreto todas as apps desenvolvidas fora de EE. Os EUA, mas um lembrete de que temos de gerir activamente a nossa pegada digital. Adoptar medidas simples de higiene digital, aproveitar as ferramentas de transparência das lojas de aplicativos e usar gestores de senhas e autenticação de dois fatores reduzem significativamente os riscos, enquanto as decisões sobre confiança e utilização devem levar em conta a origem da app, sua política de dados e o contexto regulatório onde opera.
Para quem precisar de mais recursos práticos de segurança em dispositivos móveis, a CISA oferece recomendações atualizadas no seu número de segurança de dispositivos móveis: https://www.cisa.gov/tips/mobile-device-security. E se considerar que sofreu um incidente, pode informar o IC3 do FBI: https://www.ic3.gov/.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...