Apps que expõem dados de usuários já têm mais de 142 milhões de downloads

14 aplicativos, entre os mais baixados de diferentes categorias da Google Play Store, podem ter exposto os dados de mais de 100 milhões de usuários do sistema operacional Android. A brecha decorre do não cumprimento de melhores práticas de segurança em servidores da plataforma Firebase, fornecida pelo Google para acelerar o desenvolvimento de softwares tanto para a plataforma quando para outros dispositivos móveis.

• Vírus de Android rouba usuários após infectar mais de 10 milhões de dispositivos
• Estes falsos apps para Android exploram empresas brasileiras para roubos via Pix
• Brasil é o 3º país mais atingido por ataques de sequestro digital

No total, são 142,5 milhões de instalações dos aplicativos analisados pelos especialistas em segurança do Cybernews. Eles utilizaram as listas de mais baixados das 55 categorias disponíveis na Play Store, analisando mais de 1,1 mil aplicações disponíveis aos usuários dos Estados Unidos, em busca da utilização do Firebase e seus servidores, que podem ser usados para armazenar dados pessoais e de uso e, a partir daí, contarem com configurações mal realizadas que acabam expondo tais informações a qualquer pessoa que encontrar a URL de acesso correta.

O resultado foi citado como preocupante. Dois apps de controle remoto, o Universal TV Remote Control e o Remote for Roku: Codematics, por exemplo, estão entre os com maior número de downloads, acumulando pelo menos 100 milhões de usuários, enquanto o game Hybrid Warrior: Dungeon of the Overlord, tem um milhão. Todos foram listados no relatório da Cybernews como responsáveis pela exposição de informações.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Os dados variam de acordo com a categoria dos softwares, mas segundo os especialistas, envolvem endereços de e-mail, nomes, datas de nascimento e números de telefone, assim como geolocalização e telemetria de uso. Em um caso, citado como o mais preocupante, um aplicativo de horóscopo também mantinha, abertas, chats entre os usuários, potencialmente abrindo as portas para o vazamento de informações pessoais e sensíveis.

Outra situação que chamou a atenção dos especialistas foi a do Find My Kids: Child Cell Phone Location Tracker, que como o nome já indica, levou à exposição da localização e estatísticas de uso do smartphone por crianças em um servidor, que ficou aberto por um período de tempo não revelado. A brecha, entretanto, já foi fechada neste e em outros apps citados nominalmente.

Sem suporte

Por outro lado, nove dos 14 avaliados não responderam aos chamados dos pesquisadores nem tomaram atitudes em relação às exposições, com as informações de cerca de 30 milhões de pessoas ainda abertas em servidores do Firebase. Por isso, o Cybernews não revelou a lista completa de softwares vulneráveis.

Os especialistas ainda chamam a atenção do Google sobre a denúncia, com a empresa, que é a dona da Firebase, não tomando atitudes sobre os servidores desprotegidos nem retornando o contato inicial, feito em 14 de setembro. Entretanto, eles apontam a responsabilidade diretamente aos desenvolvedores, que são os administradores diretos dos servidores vulneráveis.

A eles, a recomendação é que sigam as melhores práticas de segurança disponibilizadas oficialmente pela Firebase e, caso estejam lidando com dados especialmente sensíveis, utilizem rotinas adicionais de proteção. Esta deve ser uma prioridade para as organizações, que podem até pesar a fricção causada ao usuário, mas sempre tendo o sigilo dos dados como ponto mais importante da estratégia.

Fonte: Cybernews