Uma análise recente revelou que diversos aplicativos amplamente disponíveis na Google Play Store e na Apple App Store estão expondo milhões de usuários a sérios riscos de segurança. O estudo, conduzido pela equipe de tecnologia e resposta da Symantec, descobriu que muitos desses aplicativos possuem credenciais de serviços de nuvem, como AWS e Azure, codificadas e não criptografadas. Essa falha pode permitir que invasores acessem informações sensíveis e infraestrutura de backend.
Leia também
Ministério do Paraguai travado por ransomware
2025 será o ano dos agentes de GenAI (e outros)
Segundo os engenheiros de software Yuanjing Guo e Tommy Dong, responsáveis pelo estudo, o problema ocorre por causa de uma “codificação preguiçosa”. Eles explicam que deixar credenciais expostas no código de um aplicativo significa que qualquer pessoa com acesso ao código pode facilmente obter essas informações e utilizá-las para explorar a infraestrutura dos desenvolvedores, potencialmente roubando dados dos usuários.
A pesquisa destacou vários aplicativos populares que estão vulneráveis. Entre eles está o Pic Stitch, com mais de cinco milhões de avaliações, e o Crumbl, um app iOS, ambos contendo credenciais da AWS em texto simples. Outros aplicativos, como o Videoshop, Meru Cabs, e Eureka, também foram mencionados, todos apresentando falhas semelhantes de segurança. Esses aplicativos contêm chaves de acesso não criptografadas que poderiam ser usadas por invasores para roubar dados ou derrubar serviços inteiros.
Os pesquisadores da Symantec alertam que essa prática irresponsável de desenvolvimento é mais comum do que se imagina e afeta tanto a plataforma iOS quanto Android. Eles recomendam que os desenvolvedores adotem melhores práticas, como o uso de serviços como AWS Secrets Manager ou Azure Key Vault para proteger informações sensíveis, além de implementar criptografia e revisões de código periódicas.
Para os usuários, a Symantec sugere o uso de sistemas de segurança de terceiros e cautela ao conceder permissões aos aplicativos instalados. Apesar de a empresa oferecer seus próprios produtos de segurança, a mensagem principal é clara: os desenvolvedores precisam melhorar suas práticas de codificação para garantir a segurança dos dados dos usuários.