Mais de 18 mil apps para Android vazam segredos que podem levar a ataques

Uma pesquisa revelou que mais de 18 mil aplicativos para o sistema operacional Android, incluindo alguns dos mais populares da plataforma, têm falhas de segurança que podem levar à exposição de dados e ataques contra empresas, desenvolvedores e usuários. As brechas envolvem, principalmente, a presença de chaves ligadas a APIs de acesso a serviços e links para bancos de dados desprotegidos.

• Twitter: mais de 3 mil apps têm brechas que podem permitir ataques a perfis
• 5 falhas abrem brechas para ciberataques em empresas

O levantamento foi feito pelos especialistas do Cybernews, especializados em segurança digital, e revelou números alarmantes. Foram analisadas 33,3 mil aplicações, com 55,9% delas tendo segredos embutidos de forma direta em seu código-fonte e suscetíveis a exploração por agentes maliciosos.

124 mil entradas desse tipo foram localizadas, ou seja, alguns dos softwares estão vazando mais de um registro perigoso, o que também explica as porcentagens consideráveis encontradas. O setor de saúde e fitness é o que mais apresenta problemas, com 6,9% das vulnerabilidades, seguido de educação (6,5%), ferramentas e utilitários (6,4%), estilo de vida (4,5%) e negócios (4,1%).

Fora das chaves de APIs, que constituem a maior parte do volume e se referem a diferentes serviços ou plataformas internas, com mais de 72% das entradas, estão links para servidores desprotegidos na nuvem do Google (14,1%) e URLs de acesso ao serviço Firebase, plataforma de desenvolvimento também da gigante (11,2%). No primeiro caso, podem ser encontradas imagens e informações sobre os apps, expondo usuários e desenvolvedores, enquanto no segundo, detalhes da produção dos softwares podem estar disponíveis.

O temor dos especialistas, como dito, é quanto ao comprometimento destas aplicações, que vão desde o acesso indiscriminado a servidores desprotegidos, que carregam dados dos utilizadores, quanto a descoberta de vulnerabilidades de segurança a partir de tais acessos. “Incluir dados sensíveis na versão para usuários de um app para Android é uma má ideia. [As entradas], em muitos casos, podem ser acessadas por engenharia reversa, completa o pesquisador Vincentas Baubonis, do Cybernews.

Uma limpeza nos códigos e a correta configuração de servidores de cloud computing e sistemas internos são as recomendações de segurança. Por meio de sistemas de monitoramento e autenticação, é possível restringir o acesso de terceiros à infraestrutura, enquanto uma maior higiene dos aplicativos ajuda a evitar o vazamento de informações importantes.

Fonte: Cybernews