CISO Advisor: 238.042 page views/mês - 89.507 usuários/mês - 5.291 assinantes

Configuração incorreta da nuvem expõe usuários do Android

Da Redação
24/05/2021

A configuração incorreta de serviços de backend em nuvem feita por mais de 20 desenvolvedores de aplicativos móveis pode ter exposto dados pessoais de mais de 100 milhões de usuários do Android, de acordo com pesquisadores da Check Point Research, braço de inteligência em ameaças, da Check Point Software. Eles investigaram 23 aplicativos Android e encontraram e-mails, mensagens de bate-papo, localização, senhas e fotos dos usuários, todos expostos por práticas de segurança inadequadas.

Havia três questões principais. Primeiro, configuração incorreta dos bancos de dados em tempo real que os desenvolvedores usam para armazenar dados na nuvem e sincronizá-los com cada cliente instantaneamente. A equipe de pesquisadores de segurança descobriu que em 13 dos aplicativos nenhuma autenticação foi implantada, permitindo que os possíveis invasores acessem dados confidenciais de usuários, como endereços de e-mail, senhas e bate-papos privados. 

A Check Point observa que a configuração incorreta de bancos de dados em tempo real não é nova e continua a ser amplamente comum, afetando milhões de usuários. Tudo o que os pesquisadores tiveram que fazer foi tentar acessar os dados e, segundo a empresa, não havia nada para impedir que o acesso não autorizado acontecesse.

Segundo os pesquisadores, ao investigar o conteúdo do banco de dados disponível publicamente, eles conseguiram recuperar muitas informações confidenciais, incluindo endereços de e-mail, senhas, bate-papos privados, localização do dispositivo, identificadores de usuário e muito mais. “Se uma pessoa mal-intencionada obtiver acesso a esses dados, isso pode levar a erros de serviço, ou seja, tentar usar a mesma combinação de nome de usuário e senha em outros serviços, além de fraude ou roubo de identidade.

O número de downloads de cada aplicativo variou de 10 mil a 10 milhões. Entre os aplicativos vulneráveis havia um de astrologia, um de táxi, um para criação de logotipos, um app para gravação de tela e um aplicativo de fax. Somente do app de astrologia, horóscopo e quiromancia, chamado Astro Guru, que tem essa configuração incorreta, foram feitos mais de 10 milhões de downloads. Após os usuários inserirem suas informações pessoais, como nome, data de nascimento, sexo, localização, e-mail e detalhes de pagamento, o Astro Guru fornece a eles um relatório pessoal de astrologia e previsão do horóscopo. Imagine expor dados confidenciais para uma previsão do horóscopo.

Veja isso
Erro de configuração de nuvem leva call center a expor 114 mil arquivos
Pesquisador divulga brecha em configuração do HP Device Manager

O segundo problema de segurança diz respeito aos serviços do gerenciador de notificações push. “A maioria dos serviços de notificação por push requer uma chave, às vezes, mais de uma, para reconhecer a identidade do solicitante,” explicou a Check Point. “Quando essas chaves são incorporadas ao próprio arquivo do aplicativo, é muito fácil para os hackers assumirem o controle e obterem a capacidade de enviar notificações que podem conter links ou conteúdo malicioso para todos os usuários em nome do desenvolvedor.”

“Imagine se um aplicativo de comunicação enviasse uma notificação de notícia falsa para seus usuários, direcionando-os para uma página de phishing. Como a notificação partia do aplicativo oficial, os usuários presumiriam que a notificação é legítima e enviada pelo app de comunicação e não por hackers”, completam os pesquisadores.

O terceiro problema era com o armazenamento em nuvem: mais uma vez, os pesquisadores conseguiram encontrar casos em que os desenvolvedores armazenaram chaves no próprio arquivo do aplicativo, permitindo que os invasores acessem informações confidenciais do usuário. A Check Point observa que o armazenamento em nuvem em aplicativos móveis é uma prática que disparou nos últimos anos. Ele permite o acesso a arquivos compartilhados pelo desenvolvedor ou pelo aplicativo instalado. 

A empresa cita dois exemplos de aplicativos que os pesquisadores encontraram no Google Play. Um deles é o Screen Recorder, que tem mais de 10 milhões de downloads e é usado para gravar a tela do dispositivo do usuário e armazenar as gravações em um serviço de nuvem. Embora o acesso às gravações de tela através da nuvem seja um recurso conveniente, pode haver sérias implicações se os desenvolvedores protegerem as senhas privadas dos usuários no mesmo serviço de nuvem que armazena as gravações. Com uma rápida análise do arquivo do aplicativo, os pesquisadores conseguiram recuperar as chaves mencionadas que permitem o acesso a cada gravação armazenada.

Outro aplicativo é o iFax. Neste, não só havia as chaves de armazenamento em nuvem incorporadas ao app, como também armazenava todas as transmissões de fax lá. Com apenas a análise do aplicativo, um agente malicioso poderia obter acesso a todo e qualquer documento enviado pelos 500 mil usuários que baixaram este aplicativo. A empresa disse que alguns, mas não todos, os desenvolvedores que contatou antes da publicação mudaram suas configurações para mitigar os problemas destacados.

A equipe de pesquisadores da empresa descobriu recentemente que, nos últimos meses, muitos desenvolvedores de aplicativos deixaram seus dados e milhões de informações privadas de usuários expostos por não seguir as melhores práticas ao configurar e integrar serviços de nuvem de terceiros em seus aplicativos. “A configuração incorreta coloca em risco os dados pessoais dos usuários e os recursos internos dos desenvolvedores, como acesso a mecanismos de atualização, armazenamento e muito mais”, diz o relatório da Check Point.

Compartilhar: