Publicidade

Mais de 800 apps para iOS expõem bancos com dados de usuários

Por| Editado por Claudio Yuge | 01 de Setembro de 2022 às 13h20

Link copiado!

Apple
Apple
Tudo sobre Apple

Um novo levantamento de segurança digital localizou mais de 800 aplicativos para iOS expondo, em seu código-fonte, as credenciais de acesso a informações de usuários na nuvem. No total, são mais de 1,8 mil aplicações para o sistema operacional que contém credenciais de sistemas da Amazon expostas, abrindo as portas para ataques contra os sistemas de seus desenvolvedores e também os próprios utilizadores.

O relatório é do time de inteligência de ameaças da Symantec, que ressaltou, mais uma vez, o uso de práticas ruins de higiene digital e segurança pelos responsáveis pelos softwares. Em números mais específicos, foram encontrados 1.859 aplicativos expondo credenciais em texto simples, com acesso à nuvem da AWS; do total, 37 funcionam no Android, enquanto o restante está no iPhone e iPad.

Desse volume, 77% têm tokens válidos, que ainda permitiam acesso às nuvens das desenvolvedoras no momento da publicação do relatório. Novamente em números precisos, 874 deles, ou aproximadamente 47%, dão acesso a bancos de dados atualizados em tempo real, com dados pessoais e sensíveis relacionados ao uso das aplicações por seus utilizadores; aqui, seriam milhões de registros potencialmente expostos a cibercriminosos.

Continua após a publicidade

A Symantec cita alguns casos específicos e bem perigosos, como o de uma fornecedora de intranet e serviços de comunicação para médias e grandes empresas; ela teria 15 mil clientes, cujos dados estão expostos por conta dessa prática. O mesmo vale para uma companhia de tecnologia de identidade e autenticação, que presta serviços para bancos internacionais e também expõe informações pessoais de seus correntistas a partir de tais práticas — nesse volume, até registros biométricos foram localizados.

Em outras situações, o acesso é dado a infraestruturas internas e sistemas privados, que poderiam levar a alterações no funcionamento dos aplicativos e até à inserção de códigos, links ou informações maliciosas. É o que aconteceu, por exemplo, com uma plataforma que fornece tecnologia para serviços de apostas esportivas, cujas plataformas de administração estavam plenamente disponíveis a terceiros a partir de tokens da AWS encontrados no código-fonte de seus apps para iOS.

Tais informações poderiam ser extraídas pelos bandidos a partir de engenharia reversa, uma prática comum no mundo do cibercrime, justamente, como forma de localizar aberturas para a realização de golpes. Os nomes das empresas e aplicações vulneráveis não foram divulgados, mas a Symantec disse ter contatado todas elas.

Vazamentos são resultados de revisão insuficiente dos códigos

Continua após a publicidade

O problema, que vem se tornando cada vez mais comum, acontece devido à falta de atenção e protocolos claros de higiene na revisão de códigos. A inclusão de credenciais, chaves de autenticação e tokens é comum durante o desenvolvimento, como forma de facilitar o trabalho dos diferentes times e funcionários envolvidos no processo; a permanência dessas informações na versão pública do software, entretanto, é uma falha grave.

A recomendação de proteção, então, é quanto à aplicação de protocolos claros de revisão de códigos fonte e a limpeza completa de credenciais e outras informações sensíveis antes do lançamento. Configurações adequadas em sistemas de nuvem, também, ajudam a filtrar acessos indevidos, assim como a revogação de credenciais compartilhadas com muitos envolvidos no processo, quando essa colaboração não for mais necessária.

Fonte: Symantec