Mercado fechado
  • BOVESPA

    114.647,99
    +1.462,52 (+1,29%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    52.798,38
    +658,14 (+1,26%)
     
  • OURO

    1.768,10
    -29,80 (-1,66%)
     
  • BTC-USD

    61.049,98
    -582,40 (-0,94%)
     
  • CMC Crypto 200

    1.464,06
    +57,32 (+4,07%)
     
  • S&P500

    4.471,37
    +33,11 (+0,75%)
     
  • DOW JONES

    35.294,76
    +382,20 (+1,09%)
     
  • FTSE

    7.234,03
    +26,32 (+0,37%)
     
  • HANG SENG

    25.330,96
    +368,37 (+1,48%)
     
  • NIKKEI

    29.068,63
    +517,70 (+1,81%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,3297
    -0,0741 (-1,16%)
     

Apps que expõem dados de usuários já têm mais de 142 milhões de downloads

·3 minuto de leitura

14 aplicativos, entre os mais baixados de diferentes categorias da Google Play Store, podem ter exposto os dados de mais de 100 milhões de usuários do sistema operacional Android. A brecha decorre do não cumprimento de melhores práticas de segurança em servidores da plataforma Firebase, fornecida pelo Google para acelerar o desenvolvimento de softwares tanto para a plataforma quando para outros dispositivos móveis.

No total, são 142,5 milhões de instalações dos aplicativos analisados pelos especialistas em segurança do Cybernews. Eles utilizaram as listas de mais baixados das 55 categorias disponíveis na Play Store, analisando mais de 1,1 mil aplicações disponíveis aos usuários dos Estados Unidos, em busca da utilização do Firebase e seus servidores, que podem ser usados para armazenar dados pessoais e de uso e, a partir daí, contarem com configurações mal realizadas que acabam expondo tais informações a qualquer pessoa que encontrar a URL de acesso correta.

O resultado foi citado como preocupante. Dois apps de controle remoto, o Universal TV Remote Control e o Remote for Roku: Codematics, por exemplo, estão entre os com maior número de downloads, acumulando pelo menos 100 milhões de usuários, enquanto o game Hybrid Warrior: Dungeon of the Overlord, tem um milhão. Todos foram listados no relatório da Cybernews como responsáveis pela exposição de informações.

Os dados variam de acordo com a categoria dos softwares, mas segundo os especialistas, envolvem endereços de e-mail, nomes, datas de nascimento e números de telefone, assim como geolocalização e telemetria de uso. Em um caso, citado como o mais preocupante, um aplicativo de horóscopo também mantinha, abertas, chats entre os usuários, potencialmente abrindo as portas para o vazamento de informações pessoais e sensíveis.

<em>14 apps de Android estavam expondo dados sensíveis dos usuários; destes, nove seguem com bancos abertos, atingindo mais de 30 milhões de pessoas (Imagem: Reprodução/Cybernews)</em>
14 apps de Android estavam expondo dados sensíveis dos usuários; destes, nove seguem com bancos abertos, atingindo mais de 30 milhões de pessoas (Imagem: Reprodução/Cybernews)

Outra situação que chamou a atenção dos especialistas foi a do Find My Kids: Child Cell Phone Location Tracker, que como o nome já indica, levou à exposição da localização e estatísticas de uso do smartphone por crianças em um servidor, que ficou aberto por um período de tempo não revelado. A brecha, entretanto, já foi fechada neste e em outros apps citados nominalmente.

Sem suporte

Por outro lado, nove dos 14 avaliados não responderam aos chamados dos pesquisadores nem tomaram atitudes em relação às exposições, com as informações de cerca de 30 milhões de pessoas ainda abertas em servidores do Firebase. Por isso, o Cybernews não revelou a lista completa de softwares vulneráveis.

Os especialistas ainda chamam a atenção do Google sobre a denúncia, com a empresa, que é a dona da Firebase, não tomando atitudes sobre os servidores desprotegidos nem retornando o contato inicial, feito em 14 de setembro. Entretanto, eles apontam a responsabilidade diretamente aos desenvolvedores, que são os administradores diretos dos servidores vulneráveis.

A eles, a recomendação é que sigam as melhores práticas de segurança disponibilizadas oficialmente pela Firebase e, caso estejam lidando com dados especialmente sensíveis, utilizem rotinas adicionais de proteção. Esta deve ser uma prioridade para as organizações, que podem até pesar a fricção causada ao usuário, mas sempre tendo o sigilo dos dados como ponto mais importante da estratégia.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos