Configurações incorretas de serviços de nuvem possibilitaram a exposição dos dados de mais de 100 milhões de usuários do Android, alertam analistas de segurança da Check Point Research. De acordo com os profissionais, tais informações se encontravam em bancos de dados usados por 23 aplicativos – nos quais havia, inclusive, recursos internos de desenvolvedores.
Isso mostra que muitos deixam de seguir práticas básicas para garantir a restrição de acesso a conteúdos sensíveis de suas soluções, destaca o BleepingComputer, já que diversos repositórios estavam completamente desprotegidos e ao alcance de qualquer pessoa.
Desenvolvedores deixaram de adotar medidas de proteção básicas.Fonte: Freepik
Nomes, endereços de e-mail, datas de aniversários, mensagens privadas, localizações, gêneros, senhas, fotos, detalhes de pagamentos, números de telefone e notificações apareceram nos "dossiês" de apps que chegam a acumular mais de 10 milhões de downloads no Google Play, como Logo Maker, Astro Guru e Screen Recorder (cujos arquivos concediam acesso a screenshots de aparelhos nos quais estava instalado).
Mesmo os menos populares, como o T'Leva, outro afetado, foram baixados de 10 mil a 50 mil vezes – caso do iFax, que exibia documentos gerenciados por seu público.
"Imagine se um aplicativo de comunicação enviasse notificações falsas de notícias para seus usuários, direcionando-os para uma página de phishing. Como a notificação partiria do aplicativo oficial, os usuários presumiriam a legitimidade do alerta e que não seria disparado por hackers", reflete a equipe.
Mais de 100 milhões de usuários foram afetados.Fonte: Freepik
Presunção e consequências
Ainda segundo os pesquisadores, alguns dos desenvolvedores aplicaram a segurança por obscurantismo, por meio da qual confiavam que indivíduo algum além deles saberia como os apps funcionam – indo contra recomendações de especialistas, uma vez que, além da codificação base64, desbloqueada por uma única chave, não existiam camadas adicionais contra invasões.
"[Nestes casos], basta encontrar o trecho de código que inicializa a interface do serviço de nuvem, que geralmente recebe essas chaves como parâmetros e segue seus valores. Eventualmente, se as chaves forem incorporadas ao aplicativo, obtém-se seus valores", explicam.
"É importante declarar que a Check Point Research entrou em contato com o Google e cada um dos desenvolvedores desses aplicativos antes da publicação. Poucos alteraram suas configurações", finalizam.
Fontes
Categorias
