Quão privados são os aplicativos Android? Pesquisadores de segurança descobriram 23 aplicativos móveis vazando dados pessoais de seus usuários, e torná-lo público para a Internet aberta.
De acordo com uma nova pesquisa da Check Point, mensagens de bate-papo, e-mails, Localizações, senhas, fotos, e outros detalhes pessoais associados a vários aplicativos Android pode ser acessado por qualquer pessoa com conexão à internet. Infelizmente, apenas um pequeno número dos referidos aplicativos alterou suas configurações de privacidade depois que a empresa os contatou.
“Depois de examinar 23 aplicações Android, A Check Point Research notou que os desenvolvedores de aplicativos móveis potencialmente expuseram os dados pessoais de mais de 100 milhões de usuários por meio de uma variedade de configurações incorretas de serviços em nuvem de terceiros. Os dados pessoais incluem e-mails, mensagens de bate-papo, localização, senhas e fotos, qual, nas mãos de agentes mal-intencionados pode levar à fraude, roubo de identidade e furtos de serviço,”A pesquisa revelou.
Vale ressaltar que os dados podem ser acessados a partir de bancos de dados em tempo real no 13 do 23 Aplicativos, baixado de 10,000 para 10 milhão de vezes. Os aplicativos tratavam de temas como astrologia, serviços de táxi, fabricantes de logotipo, e gravação de tela. No caso de um aplicativo de táxi, chamado T’Leva, os pesquisadores puderam acessar as mensagens entre motoristas e passageiros, bem como dados de localização e detalhes pessoais, como nomes completos e números de telefone. Isso pode ser feito apenas enviando uma solicitação ao banco de dados.
além disso, os pesquisadores descobriram notificações push e chaves de armazenamento em nuvem incorporadas em vários aplicativos, colocar os recursos internos dos desenvolvedores, incluindo mecanismos de atualização e armazenamento, em risco.
Bancos de dados em tempo real e soluções baseadas em nuvem: Uma responsabilidade
No fundo da questão estão as soluções modernas baseadas em nuvem que se tornaram o novo padrão no mundo do desenvolvimento de aplicativos móveis. “Serviços como armazenamento baseado em nuvem, bancos de dados em tempo real, gerenciamento de notificação, analítica, e muito mais estão a apenas um clique de serem integrados aos aplicativos. Ainda, os desenvolvedores muitas vezes negligenciam o aspecto de segurança desses serviços, a configuração deles, e claro, o conteúdo deles,”Check Point disse.
Mais especificamente, bancos de dados em tempo real podem se tornar uma responsabilidade, se não estiver configurado corretamente. Esses bancos de dados permitem que os desenvolvedores armazenem dados na nuvem, sincronizando em tempo real para cada cliente conectado. Contudo, se o banco de dados não tiver um recurso básico, como autenticação, privacidade é colocada em perigo.
Infelizmente, o problema com bancos de dados em tempo real não é novo, e é um problema amplamente comum que afeta milhões de usuários. Em termos de 23 aplicativos analisados pela Check Point, “Não havia nada em vigor para impedir que o acesso não autorizado acontecesse.”
Durante a investigação, a equipe recuperou muitas informações confidenciais, como endereços de e-mail, senhas, chats privados, localização do dispositivo, identificadores de usuário, etc.
Qual poderia ser o resultado da exposição desses dados? Se os atores da ameaça obtiverem acesso a esses dados, eles poderiam realizar golpes de serviço, roubo de identidade, e vários tipos de fraude.
Aplicativos em nuvem usados por hackers
Outro relatório recente, por Proofpoint, revelou o perigo da crescente adoção de ferramentas de colaboração em nuvem nas organizações. Houve uma aceleração na exploração de agentes de ameaças na infraestrutura em nuvem da Microsoft e do Google para hospedar e enviar mensagens maliciosas. Os aplicativos abusados nos ataques incluem o Office 365, Azure, onedrive, SharePoint, G-Suite, e Firebase.