O aplicativo para Android Web Explorer – Fast Internet acaba vazando histórico de navegação dos usuários. Com a exposição desses dados confidenciais, atores mal-intencionados poderiam usar para verificar o histórico de navegação de usuários específicos.
O Web Explorer – Fast Internet, deixou aberta sua instância do Firebase, expondo os dados do aplicativo e do usuário, de acordo com a equipe de pesquisa da Cybernews (Via: Security Affairs). O Firebase é uma plataforma de desenvolvimento de aplicativos móveis que oferece muitos recursos, incluindo análise, hospedagem e armazenamento em nuvem em tempo real.
Histórico de navegação dos usuários do Web Explorer
O Web Explorer – Fast Internet é um aplicativo de navegação com mais de cinco milhões de downloads na Google Play Store. Ele seria capaz de aumentar a velocidade de navegação em 30% e tem uma média de avaliação do usuário de 4,4 em cinco estrelas, em mais de 58.000 avaliações.
De acordo com a equipe, a instância aberta do Firebase continha dias de dados de redirecionamento, apresentados pelo ID do usuário. Isso inclui o país, o endereço de início do redirecionamento, o endereço de destino do redirecionamento e o país do usuário.
Os pesquisadores da empresa afirmam que, “se os agentes de ameaças pudessem remover o anonimato dos usuários do aplicativo, eles seriam capazes de verificar várias informações no histórico de navegação de um usuário específico e usá-las para extorsão”.
No entanto, colocar as mãos nos dados que o Web Explorer – Fast Internet deixou exposto não seria suficiente por si só. Um agente de ameaça também teria que procurar onde os desenvolvedores de aplicativos armazenam dados adicionais do usuário. Dito isso, cruzar os dados vazados com detalhes adicionais pode amplificar qualquer dano causado aos usuários do aplicativo.
Chaves e IDs
A equipe também descobriu que o aplicativo tinha informações confidenciais codificadas no lado do cliente do aplicativo. Codificar informações confidenciais, comumente conhecidas como “segredos”, é considerada uma prática ruim, pois os agentes de ameaças podem extraí-las para uso malicioso.
Web Explorer – Fast Internet tinha uma chave firebase_database_url codificada que aponta para um banco de dados com histórico de navegação parcial anônimo do usuário, default_web_client_id, um identificador público exclusivo enviado para um aplicativo usando Firebase, gcm_defaultSenderId, uma chave que permite a comunicação entre servidores. O aplicativo também continha google_api_key e google_api_id, ambos usados para fins de autenticação. A chave de API e o ID do aplicativo são usados para identificar um aplicativo do Google verificado para acessar os serviços de API do Google.
Além disso, a equipe encontrou as chaves google_crash_reporting_key e google_storage_bucket codificadas no aplicativo. Mesmo que a equipe não tenha verificado se o bucket estava acessível publicamente, ainda é um caso de configuração incorreta que pode levar à exposição de detalhes confidenciais do usuário.
