Mercado fechado

Mais de 800 apps para iOS expõem bancos com dados de usuários

Um novo levantamento de segurança digital localizou mais de 800 aplicativos para iOS expondo, em seu código-fonte, as credenciais de acesso a informações de usuários na nuvem. No total, são mais de 1,8 mil aplicações para o sistema operacional que contém credenciais de sistemas da Amazon expostas, abrindo as portas para ataques contra os sistemas de seus desenvolvedores e também os próprios utilizadores.

O relatório é do time de inteligência de ameaças da Symantec, que ressaltou, mais uma vez, o uso de práticas ruins de higiene digital e segurança pelos responsáveis pelos softwares. Em números mais específicos, foram encontrados 1.859 aplicativos expondo credenciais em texto simples, com acesso à nuvem da AWS; do total, 37 funcionam no Android, enquanto o restante está no iPhone e iPad.

Desse volume, 77% têm tokens válidos, que ainda permitiam acesso às nuvens das desenvolvedoras no momento da publicação do relatório. Novamente em números precisos, 874 deles, ou aproximadamente 47%, dão acesso a bancos de dados atualizados em tempo real, com dados pessoais e sensíveis relacionados ao uso das aplicações por seus utilizadores; aqui, seriam milhões de registros potencialmente expostos a cibercriminosos.

A Symantec cita alguns casos específicos e bem perigosos, como o de uma fornecedora de intranet e serviços de comunicação para médias e grandes empresas; ela teria 15 mil clientes, cujos dados estão expostos por conta dessa prática. O mesmo vale para uma companhia de tecnologia de identidade e autenticação, que presta serviços para bancos internacionais e também expõe informações pessoais de seus correntistas a partir de tais práticas — nesse volume, até registros biométricos foram localizados.

Em outras situações, o acesso é dado a infraestruturas internas e sistemas privados, que poderiam levar a alterações no funcionamento dos aplicativos e até à inserção de códigos, links ou informações maliciosas. É o que aconteceu, por exemplo, com uma plataforma que fornece tecnologia para serviços de apostas esportivas, cujas plataformas de administração estavam plenamente disponíveis a terceiros a partir de tokens da AWS encontrados no código-fonte de seus apps para iOS.

Tais informações poderiam ser extraídas pelos bandidos a partir de engenharia reversa, uma prática comum no mundo do cibercrime, justamente, como forma de localizar aberturas para a realização de golpes. Os nomes das empresas e aplicações vulneráveis não foram divulgados, mas a Symantec disse ter contatado todas elas.

Vazamentos são resultados de revisão insuficiente dos códigos

O problema, que vem se tornando cada vez mais comum, acontece devido à falta de atenção e protocolos claros de higiene na revisão de códigos. A inclusão de credenciais, chaves de autenticação e tokens é comum durante o desenvolvimento, como forma de facilitar o trabalho dos diferentes times e funcionários envolvidos no processo; a permanência dessas informações na versão pública do software, entretanto, é uma falha grave.

A recomendação de proteção, então, é quanto à aplicação de protocolos claros de revisão de códigos fonte e a limpeza completa de credenciais e outras informações sensíveis antes do lançamento. Configurações adequadas em sistemas de nuvem, também, ajudam a filtrar acessos indevidos, assim como a revogação de credenciais compartilhadas com muitos envolvidos no processo, quando essa colaboração não for mais necessária.

Fonte: Canaltech

Trending no Canaltech: