1,5 mil apps são suspeitos de vazar dados de usuários de Android

Um levantamento revelou que mais de 1,5 mil aplicativos para o sistema operacional Android, alguns acumulando milhões de downloads, estão expondo chaves de API que podem levar à exposição de dados dos usuários. Os softwares vulneráveis são de diferentes categorias, principalmente alimentação, educação, fitness, estilo de vida, saúde e produtividade, e permanecem disponíveis na Google Play Store, suscetíveis às explorações.

• Como fazer uma checagem de segurança no Android
• Como proteger meu celular de invasões?

A brecha, mais especificamente, está relacionada a chaves de API de uma plataforma chamada Algolia, que unifica serviços de recomendação e descoberta de conteúdo em diferentes mecanismos de busca e serviços online. A tecnologia é utilizada por mais de 11 mil empresas de todo o mundo, enquanto a lista específica de aplicações não foi revelada de forma a evitar ataques direcionados.

Por outro lado, os detalhes técnicos foram revelados pela empresa de segurança digital CloudSEK, que divulgou o alerta. De acordo com ela, a plataforma Algolia utiliza cinco tipos diferentes de chaves de API, sendo que apenas uma, relacionada aos mecanismos de pesquisa, deve estar disponível publicamente, no código-fonte das aplicações.

Entretanto, o levantamento dos especialistas revelou que pelo menos 32 aplicativos estão expondo chaves de administração em meio à sua programação, com direito a 57 credenciais únicas dos responsáveis pelos softwares. Neste caso, o acesso poderia ser abusado para dar acesso a painéis de controle e gerenciamento, alterando registros dos usuários, configurações e expondo informações potencialmente sensíveis.

Com as outras, relacionadas a análise de dados, monitoramento e utilização dos apps, atacantes seriam capazes de acessar e buscar dados dos usuários, também levando a um possível vazamento de registros que deveriam ser sigilosos. Quando se olha o caráter dos aplicativos atingidos, tais problemas ganham um adicional de gravidade, independente da característica do acesso que poderia ser realizado por um cibercriminoso.

Tal noção ganha ainda mais força com a ideia de que, no caso dos 32 aplicativos que expõem chaves de administração, o total somado de downloads ultrapassa a marca dos 3,2 milhões, enquanto alguns, individualmente, chegam a 1 milhão. Segundo a CloudSEK, o segmento de compras online é o mais atingido por este problema, representando, sozinho, 2,3 milhões de instalações vulneráveis.

Como dito, a lista de aplicativos cujas brechas foram identificadas pelos especialistas não foi divulgada, como forma de evitar golpes direcionados e chamar a atenção dos bandidos para o problema. Segundo a CloudSEK, todos os desenvolvedores foram notificados sobre a questão durante a composição do relatório, mas nenhum deu retorno sobre possíveis correções ou o desenvolvimento de atualizações.

Fonte: Bleeping Computer