Especialistas em segurança da informação publicaram um relatório sobre a análise de aplicativos para o sistema operacional Android. Uma análise de 23 aplicativos mostrou que a configuração incorreta dos serviços em nuvem associados a eles permite que centenas de milhões de pessoas tenham acesso a todos os tipos de informações pessoais.
Darkreading.com
A equipe da Check Point Research (CPR) descobriu que 23 aplicativos estão sujeitos a todos os tipos de erros de configuração que dão acesso a e-mails, mensagens de bate-papo, dados de geolocalização, senhas e fotos do usuário. Até os próprios recursos de informação dos desenvolvedores estavam sob ameaça.
Em 13 desses aplicativos, os especialistas encontraram dados confidenciais de bancos de dados atualizados, cujo armazenamento foi fornecido aos desenvolvedores por vários serviços em nuvem sincronizados com aplicativos clientes. O acesso a alguns bancos de dados nem mesmo era devidamente protegido, de modo que os pesquisadores puderam obter dados de bate-papo e senhas simplesmente enviando consultas de software aos bancos de dados.
Por exemplo, um “aplicativo de táxi popular” sem nome com uma falha de configuração semelhante foi baixado pelos usuários mais de 50.000 vezes. Os especialistas puderam ler chats entre passageiros e motoristas, aprenderam nomes de usuário completos, números de telefone e endereços de partida e destino.
A equipe também descobriu que alguns programas integraram todos os tipos de chaves que permitem não apenas entrar na nuvem, mas também dar aos invasores a capacidade de enviar notificações push falsas.
Quanto ao armazenamento em nuvem, uma análise do programa Screen Recorder (mais de 10 milhões de downloads) revelou chaves que dão acesso a todos os registros, e o aplicativo iFax continha dados de autorização e mensagens de fax realmente salvas.
De acordo com os pesquisadores, a empresa relatou as descobertas ao Google e a todos os desenvolvedores de aplicativos “defeituosos”, alguns dos quais já lançaram atualizações de patch.