Mercado fechará em 5 h 45 min
  • BOVESPA

    129.316,37
    -197,25 (-0,15%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    50.516,38
    -41,94 (-0,08%)
     
  • PETROLEO CRU

    73,59
    +0,29 (+0,40%)
     
  • OURO

    1.787,60
    +10,90 (+0,61%)
     
  • BTC-USD

    33.394,75
    -519,66 (-1,53%)
     
  • CMC Crypto 200

    800,97
    -41,67 (-4,95%)
     
  • S&P500

    4.277,31
    +10,82 (+0,25%)
     
  • DOW JONES

    34.418,10
    +221,28 (+0,65%)
     
  • FTSE

    7.128,03
    +18,06 (+0,25%)
     
  • HANG SENG

    29.288,22
    +405,76 (+1,40%)
     
  • NIKKEI

    29.066,18
    +190,95 (+0,66%)
     
  • NASDAQ

    14.349,50
    -4,75 (-0,03%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,8704
    +0,0081 (+0,14%)
     

Configurações mal feitas na nuvem de apps Android expõem 100 milhões de usuários

·3 minuto de leitura

Cada vez mais presentes em aplicativos, os serviços de nuvem trazem comodidades que vão de login facilitado até acesso rápido a bancos de dados remotos. No entanto, eles também trazem riscos de segurança — uma pesquisa da Check Point Research (CPR) mostra que 100 milhões de usuários ao redor do mundo tiveram seus dados expostos por aplicativos que usavam soluções de nuvem mal configuradas.

A partir da análise de 23 aplicativos presentes na Google Play Store, a CPR notou que diversos desenvolvedores usaram serviços de nuvem gerenciados por terceiros — como gerenciadores de notificações, armazenamento iCloud e bases de dados — de forma indevida. Na prática, isso resultou na exposição de informações, não somente dos criadores dos apps, mas também de todas as suas bases de usuários.

Apps comprometidos encontrados pela Check Point Research
Imagem: Divulgação/Check Point Research

Entre as informações comprometidas estão endereços e mensagens de e-mail, conversas de chats, localização, senhas, fotos pessoais e outros dados sensíveis. Em seus testes, a empresa conseguiu conexão em tempo real com as bases de dados de 13 aplicativos, cujos downloads variavam entre 10 mil e 10 milhões — criminosos com o mesmo acesso poderiam ter realizado ataques envolvendo o roubo de identidades e fraudes, além de tentar usar as credenciais obtidas para invadir outros serviços.

Confira exemplos de apps vulneráveis e dos dados extraídos deles:

Nome

Descrição

Informações obtidas

Nº de downloads

Astro Guru

App de astrologia, horoscópo e leitura de mãos

Nome, dada de nascimento, gênero, localização, e-mail e detalhes de pagamento

10 milhões

T’Leva

App de táxis

Registros de mensagens, nomes completos dos usuários, números de telefone e localizações de partida e destino de viagens

50 mil

Logo Maker

Design gráfico grátis com templates de logotipos

E-mail, senha, nome e ID de usuários

10 milhões

O relatório também mostra que vários dos aplicativos incorporavam chaves para o reconhecimento da identidade dos desenvolvedores para enviar notificações push. Com isso, abriu-se a possibilidade de enviar mensagens com conteúdo malicioso em nome de seus criadores, incentivando usuários a realizar ações prejudiciais.

Além disso, muitos incorporavam chaves de armazenamento em nuvem cuja criptografia havia sido comprometida:

Nome

Descrição

Informações obtidas

Nº de downloads

Screen Recorder

Grava telas de dispositivos e armazena os conteúdos na nuvem

Acesso às gravações armazenadas

+ de 10 milhões

iFax

Enviar fax pelo telefone e receber mensagens de fax gratuitamente

Acesso às transmissões armazenadas

500 mil

Antes de divulgar publicamente a lista, a CPR entrou em contato tanto com o Google quanto com as desenvolvedoras dos aplicativos afetados. No entanto, o gerente de pesquisas Mobile Aviran Hazum afirma que a maioria deles ainda expõem os dados dos usuários, que correm o risco de tornarem-se vítimas de roubos de identidade, phishing e outros vetores de ataque.

“Esperamos que a nossa investigação incentive a comunidade de desenvolvedores e programadores a ser extremamente cuidadosa com a forma como usam e configuram este tipo de serviços”, adiciona Hazum. Entre as recomendações da Check Point Research aos consumidores está a instalação de softwares de proteção eficientes na detecção e bloqueio de diferentes ameaças. Já aos desenvolvedores, a empresa recomenda um exame minucioso de seus aplicativos em busca de vulnerabilidades, bem como uma maior atenção às melhores práticas no que diz respeito à integração de serviços de nuvem gerenciados por terceiros.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos