Aplicativos de transporte, horóscopo e criação de logos estão entre os apps que expõe dados dos usuários; entenda falha
Cerca de 100 milhões de usuários de Android tiveram seus dados expostos por problemas nas configurações e integração do armazenamento de nuvem em apps. A descoberta foi feita pela empresa de cibersegurança CheckPoint Research (CPR) por meio da análise de 23 aplicativos populares da Google Play Store, que contam com milhões de downloads. Segundo a pesquisa, as principais informações comprometidas pela falha são e-mails, números de telefone, mensagens, senhas, fotos e localização.
De acordo com os pesquisadores da CPR, os erros de configurações que levaram à exposição estão ligados às bases de dados em tempo real, ao armazenamento e ao gerenciamento de notificações de diversos desenvolvedores de apps. O uso incorreto desses serviços de nuvem teria impactado não apenas os usuários, mas também os desenvolvedores dos aplicativos. Recursos internos, como procedimentos de atualizações e armazenamento, também foram comprometidos.
A pesquisa indica que os desenvolvedores de 13 apps não usaram uma camada de proteção para impedir o acesso de terceiros às informações dos usuários. Por causa dessa falha, os pesquisadores conseguiram encontrar os dados com facilidade. Os especialistas afirmaram também que uma simples autenticação impediria o acesso não autorizado às informações de quem usa os serviços.
As bases de dados em tempo real são usadas para gerenciar e armazenar o tráfego de grandes quantidades de informações que mudam constantemente. O mecanismo é uma importante ferramenta para os desenvolvedores de apps, principalmente em softwares que precisam ter uma constante atualização das informações — como serviços de finanças e transporte, por exemplo.
O aplicativo de táxi T’Leva, com mais de 50 mil downloads, é um dos serviços vulneráveis revelados pela CPR. De acordo com o relatório divulgado, mensagens de bate-papo entre motoristas e passageiros, além de nomes, números de telefone e locais dos usuários, puderam ser acessados com uma solicitação a base de dados.
Outro aplicativo que expõe os dados dos usuários é o Astro Guru, serviço de astrologia e horóscopo com cerca de 10 milhões de downloads. O Logo Maker, voltado para criação de logotipos, também integra a lista de apps que expõe dados dos usuários, e foi instalado 10 milhões de vezes.
Outra falha encontrada pelos pesquisadores está ligada à exposição das chaves de encriptação das nuvens, ferramenta que funciona como proteção de dados. O app de gravação de tela Screen Recorder, com mais de 10 milhões de downloads, está entre os aplicativos que tiveram chaves de encriptação da nuvem comprometidas. Durante o levantamento, os pesquisadores conseguiram acesso às gravações armazenadas pelo app. Além dele, o iFax, aplicativo para enviar fax e receber mensagens, expõe qualquer documento enviado pelos usuários que usarem o serviço, que soma 500 mil instalações.
Segundo o relatório, diversos aplicativos incorporavam chaves para o reconhecimento da identidade dos desenvolvedores, sendo capazes de enviar notificações push aos usuários. Por isso, a pesquisa também alertou a capacidade de possíveis ataques de terceiros usando justamente as notificações dos apps.
A Check Point Research afirmou ter entrado em contato com o Google e com os desenvolvedores dos aplicativos antes da divulgação do relatório. De acordo com a empresa de cibersegurança, apenas um dos apps teve sua configuração alterada até o momento.
MAIO