Configurações mal feitas na nuvem de apps Android expõem 100 milhões de usuários
Por Felipe Gugelmin | Editado por Claudio Yuge | 20 de Maio de 2021 às 21h20
Cada vez mais presentes em aplicativos, os serviços de nuvem trazem comodidades que vão de login facilitado até acesso rápido a bancos de dados remotos. No entanto, eles também trazem riscos de segurança — uma pesquisa da Check Point Research (CPR) mostra que 100 milhões de usuários ao redor do mundo tiveram seus dados expostos por aplicativos que usavam soluções de nuvem mal configuradas.
- Apple cita alta de malwares no MacOS para defender suas restrições na App Store
- Ataques de força bruta a serviços remotos aumentaram em 704% na América Latina
- Uso de spywares para Android aumentou mais de 40% em um ano
A partir da análise de 23 aplicativos presentes na Google Play Store, a CPR notou que diversos desenvolvedores usaram serviços de nuvem gerenciados por terceiros — como gerenciadores de notificações, armazenamento iCloud e bases de dados — de forma indevida. Na prática, isso resultou na exposição de informações, não somente dos criadores dos apps, mas também de todas as suas bases de usuários.
Entre as informações comprometidas estão endereços e mensagens de e-mail, conversas de chats, localização, senhas, fotos pessoais e outros dados sensíveis. Em seus testes, a empresa conseguiu conexão em tempo real com as bases de dados de 13 aplicativos, cujos downloads variavam entre 10 mil e 10 milhões — criminosos com o mesmo acesso poderiam ter realizado ataques envolvendo o roubo de identidades e fraudes, além de tentar usar as credenciais obtidas para invadir outros serviços.
Confira exemplos de apps vulneráveis e dos dados extraídos deles:
Nome | Descrição | Informações obtidas | Nº de downloads |
Astro Guru | App de astrologia, horoscópo e leitura de mãos | Nome, dada de nascimento, gênero, localização, e-mail e detalhes de pagamento | 10 milhões |
T’Leva | App de táxis | Registros de mensagens, nomes completos dos usuários, números de telefone e localizações de partida e destino de viagens | 50 mil |
Logo Maker | Design gráfico grátis com templates de logotipos | E-mail, senha, nome e ID de usuários | 10 milhões |
O relatório também mostra que vários dos aplicativos incorporavam chaves para o reconhecimento da identidade dos desenvolvedores para enviar notificações push. Com isso, abriu-se a possibilidade de enviar mensagens com conteúdo malicioso em nome de seus criadores, incentivando usuários a realizar ações prejudiciais.
Além disso, muitos incorporavam chaves de armazenamento em nuvem cuja criptografia havia sido comprometida:
Nome | Descrição | Informações obtidas | Nº de downloads |
Screen Recorder | Grava telas de dispositivos e armazena os conteúdos na nuvem | Acesso às gravações armazenadas | + de 10 milhões |
iFax | Enviar fax pelo telefone e receber mensagens de fax gratuitamente | Acesso às transmissões armazenadas | 500 mil |
Antes de divulgar publicamente a lista, a CPR entrou em contato tanto com o Google quanto com as desenvolvedoras dos aplicativos afetados. No entanto, o gerente de pesquisas Mobile Aviran Hazum afirma que a maioria deles ainda expõem os dados dos usuários, que correm o risco de tornarem-se vítimas de roubos de identidade, phishing e outros vetores de ataque.
“Esperamos que a nossa investigação incentive a comunidade de desenvolvedores e programadores a ser extremamente cuidadosa com a forma como usam e configuram este tipo de serviços”, adiciona Hazum. Entre as recomendações da Check Point Research aos consumidores está a instalação de softwares de proteção eficientes na detecção e bloqueio de diferentes ameaças. Já aos desenvolvedores, a empresa recomenda um exame minucioso de seus aplicativos em busca de vulnerabilidades, bem como uma maior atenção às melhores práticas no que diz respeito à integração de serviços de nuvem gerenciados por terceiros.