Recentemente a empresa de segurança Check Point revelou ter descoberto várias aplicações na Google Play Store que podem encontrar-se a expor os dados pessoais dos utilizadores, com um total de mais de 100 milhões de utilizadores potencialmente afetados.
Depois de examinar 23 aplicações móveis para Android disponíveis na Google Play Store, a empresa viu inúmeros programadores de aplicações a utilizarem indevidamente serviços cloud de terceiros, tais como bases de dados em tempo real, gestores de notificações e armazenamento cloud. A utilização indevida resultou na exposição de dados não só dos próprios programadores, como dos utilizadores das apps. Entre as informações expostas incluíam-se e-mails, mensagens de chat, localização, palavras-passe, fotografias, entre outros.
Uma base de dados em tempo-real está em constante funcionamento e atualização, ao contrário da informação que é, por exemplo, armazenada num disco. Os programadores de aplicações dependem de bases de dados em tempo-real para armazenar dados na cloud.
Os investigadores conseguiram aceder com sucesso a informações sensíveis de bases de dados em tempo-real de 13 aplicações para Android, com 10 000 a 10 milhões de downloads. Se um agente malicioso obtivesse acesso aos mesmos dados extraídos pelos investigadores, poderia levar a cabo uma série de ataques, como fraude, roubo de identidade ou o chamado service-swipe, tática em que se procura aceder a outras plataformas com os dados obtidos para um serviço.
Os programadores precisam de enviar notificações push para interagir com os utilizadores. A maioria dos serviços de notificações push requer uma chave para reconhecer a identidade do remetente do pedido. Os investigadores encontram estas chaves incorporadas em várias aplicações. Apesar das informações dos serviços de notificações push não serem sempre sensíveis, a possibilidade de enviar notificações em nome do programador é mais do que suficiente para atrair agentes maliciosos.
Entre algumas das aplicações afetadas encontra-se a “Astro Guru”, com mais de 10 milhões de downloads, e a “Logo Maker”, com o mesmo número. Outras que também foram descobertas serão a “Screen Recorder” e “iFax”.
“A maioria das apps que analisámos ainda estão a expor dados neste momento. Em última análise, as vítimas tornam-se especialmente vulneráveis a roubos de identidade, phishing e vários outros vetores de ataque. A última investigação da Check Point revela uma realidade preocupante, onde os programadores das aplicações colocam em risco não só os seus dados, mas os dos próprios utilizadores,” começa por dizer Aviran Hazum, Manager of Mobile Research da Check Point Software.
“Por não terem seguido as melhores práticas aquando da configuração e integração de serviços cloud terceiros nas suas aplicações, dezenas de milhões de dados de utilizadores privados foram expostos. Esperamos que a nossa investigação incentive a comunidade de programadores a ser extra cuidadosa com a forma como usam e configuram este tipo de serviços. Para resolver o problema, os programadores têm agora de passar a limpo as suas aplicações à procura das vulnerabilidades que demos a conhecer.”
Nenhum comentário
Seja o primeiro!