Mais de 100 milhões de usuários do Android tem seus dados expostos

Pesquisadores descobriram que os desenvolvedores de aplicativos móveis expuseram informações por meio de configurações incorretas de serviços em nuvem; os dados pessoais incluem e-mails, mensagens de chat, localização, senhas e fotos

Compartilhar:

A Check Point revelou que mais de 100 milhões de usuários no mundo tiveram os seus dados expostos por desenvolvedores de aplicativos móveis.

 

Depois de examinar 23 aplicativos móveis para Android disponíveis na Google Play Store, os pesquisadores da CPR notaram que inúmeros desenvolvedores de aplicativos utilizaram indevidamente serviços em nuvem de terceiros, tais como bases de dados em tempo real, gerenciadores de notificações e armazenamento Cloud. A utilização indevida resultou na exposição de dados não só dos próprios desenvolvedores, bem como dos usuários dos aplicativos. Entre as informações expostas incluíam-se e-mails, mensagens de chat, localização, senhas, fotos, entre outras.

 

Configuração incorreta de bases de dados em tempo real 

 

Uma base de dados em tempo real está em constante funcionamento e atualização, ao contrário da informação de que é, por exemplo, armazenada em um disco. Os desenvolvedores de aplicativos dependem de bases de dados em tempo real para armazenar dados na nuvem. A Check Point Research conseguiu acessar com sucesso as informações sensíveis de bases de dados em tempo real de 13 aplicativos para Android, com 10 mil a 10 milhões de downloads. Se um atacante obtivesse acesso aos mesmos dados extraídos pela equipe da CPR, poderia ter realizado uma série de ataques envolvendo fraude, roubo de identidade ou o chamado service-swipe (tática que tenta usar a mesma combinação de nome de usuário e senha em outros serviços).

 

Três exemplos de aplicativos vulneráveis encontrados na Google Play Store: 

 

 

 

 

 

 

 

 

 

Chaves de notificação push incorporadas em aplicativos

 

Os desenvolvedores precisam enviar notificações push (tipo de mensagem que é enviada dos aplicativos móveis e sistemas operacionais em geral) para interagir com os usuários. A maioria dos serviços de notificações push requer uma chave para reconhecer a identidade do remetente do pedido. A CPR encontrou estas chaves incorporadas em vários aplicativos. Apesar das informações dos serviços de notificações push não serem sempre sensíveis, a possibilidade de enviar notificações em nome do desenvolvedor é mais do que suficiente para atrair agentes maliciosos.

 

Chaves de armazenamento em nuvem incorporadas em aplicativos  

 

O armazenamento Cloud em aplicativos móveis é uma solução simples para acessar a arquivos compartilhados tanto pelo desenvolvedor como pelo aplicativo instalado. Os pesquisadores da Check Point encontraram aplicativos na Google Play cujas chaves de encriptação da nuvem foram expostas. Abaixo, dois exemplos:

 

 

 

 

 

 

 

 

“A maioria dos aplicativos que analisamos ainda expõem os dados neste momento. Em última análise, as vítimas tornam-se especialmente vulneráveis a roubos de identidade, phishing e vários outros vetores de ataque. Essa pesquisa da Check Point Research revela uma realidade preocupante, na qual os desenvolvedores dos aplicativos colocam em risco não só os seus dados, mas os dos próprios usuários”, aponta Aviran Hazum, gerente de pesquisas Mobile da Check Point Software Technologies.

 

A Check Point Research contatou o Google e cada um dos desenvolvedores responsáveis pelos aplicativos antes da divulgação desta pesquisa e análise para compartilhar essas descobertas feitas pelos pesquisadores da empresa. Posteriormente, um dos aplicativos teve sua configuração alterada.

 

Conteúdos Relacionados

Security Report | Overview

Ataques cibernéticos ameaçam paralisação dos negócios e continuidade das PMEs

Com operações cada vez mais digitais, pequenas e médias empresas buscam estratégias de gestão de riscos para mitigar os severos...
Security Report | Overview

Férias de inverno aumentam risco de golpes digitais potencializados por IA 

Sites falsos, hospedagens inexistentes e promoções irresistíveis estão entre as fraudes mais comuns da temporada. Especialista do Cesuca explica como...
Security Report | Overview

Espionagem digital iraniana mira governos e empresas Latinas, alerta relatório

Estudo da WatchGuard mostra que grupo MuddyWater foca no roubo de propriedade intelectual e dados de navegadores mesmo durante tréguas...
Security Report | Overview

Golpe que engana funcionários sem vírus se multiplica 37 vezes em dois anos

O golpe destaca-se por sua natureza de 'rastro zero'. Os criminosos utilizam uma estratégia focada em convencer o usuário a...