Pesquisadores de segurança descobriram que mais de 100 milhões de usuários do Android tiveram seus dados expostos devido a várias configurações incorretas de serviços em nuvem. Os dados foram encontrados em bancos de dados em tempo real desprotegidos usados ??por 23 aplicativos com contagens de download variando de 10.000 a 10 milhões e também incluem recursos internos do desenvolvedor.
Vários aplicativos expõem dados dos usuários
A descoberta revela que alguns desenvolvedores Android não seguem práticas básicas de segurança para restringir o acesso ao banco de dados do aplicativo. A quantidade de aplicativos móveis com problemas de configuração incorreta mostra que esse é um problema generalizado que pode ser facilmente aproveitado para fins maliciosos.
Os desenvolvedores de aplicativos usam bancos de dados em tempo real para armazenar dados na nuvem e sincronizá-los em tempo real com clientes conectados. Os pesquisadores da Check Point descobriram que alguns desses bancos de dados foram deixados desprotegidos e qualquer pessoa pode acessar informações pessoais, algumas delas confidenciais, pertencentes a mais de 100 milhões de usuários.
Os dados incluem nomes, endereços de e-mail, datas de nascimento, mensagens de bate-papo, localização, gênero, senhas, fotos, detalhes de pagamento, números de telefone, notificações push. Inclusive, alguns dos aplicativos que expõem este tipo de informação estão presentes no Google Play e possuem mais de 10 milhões de instalações, como o Logo Maker e o Astro Guru, por exemplo. Outros, como o T’Leva, são menos populares, mas ainda têm uma base de usuários significativa com contagem de instalação entre 10.000 e 500.000.
Chaves de acesso dentro dos aplicativos
Os pesquisadores também encontraram detalhes confidenciais relacionados ao desenvolvedor embutidos em alguns dos aplicativos testados. Em um aplicativo, eles encontraram as credenciais para serviços de notificação por push. No Screen Recorder, por exemplo, outro aplicativo do Google Play com mais de 10 milhões de instalações, os pesquisadores encontraram as chaves de armazenamento em nuvem que dão acesso às capturas de tela dos usuários a partir do dispositivo.
Eles descobriram que o aplicativo iFax Android também armazenava as chaves de armazenamento em nuvem e o banco de dados continha documentos e transmissões de fax de mais de 500.000 usuários. Alguns desenvolvedores, no entanto, adotaram o princípio de “segurança através da obscuridade” e ofuscaram a chave secreta usando a codificação base64, que não adiciona proteção, pois a decodificação não é protegida.
Dos 23 aplicativos que os pesquisadores da Check Point analisaram, alguns tem mais de 10 milhões de instalações no Google Play e a maioria deles tinha o banco de dados em tempo real desprotegido, expondo informações confidenciais do usuário.
Embora o problema não seja novo, é surpreendente que aplicativos altamente populares não imponham práticas básicas de segurança para proteger seus usuários e dados, destaca o BleepngComputer.