Vulnerabilidade no aplicativo Android “Moscow State Services”

Especialistas da empresa Postuf, que atua na área de segurança da informação, descobriram uma vulnerabilidade no aplicativo móvel “Moscow State Services” para a plataforma Android. Seu funcionamento permitiu o acesso aos dados que os usuários indicaram no site do serviço, incluindo nome completo, endereços de caixas de correio, números de apólice OMC e SNILS, lista de propriedades, etc.

Além disso, pelo número da apólice de seguro médico obrigatório, era possível ter acesso a todos os tipos de dados médicos, inclusive sobre os médicos visitados, prescrições, etc. A fonte observa que a vulnerabilidade possibilitou não só visualizar os dados, mas também fazer ajustes neles. Além disso, para os usuários, tais alterações podem permanecer invisíveis, uma vez que o sistema não notifica os usuários sobre as alterações realizadas. Há quanto tempo a vulnerabilidade descoberta por especialistas existia e se era usada por cibercriminosos na prática é desconhecida.

Os especialistas observam que é impossível causar danos graves ao conhecer os dados do portal, mas podem ser ajustados de forma que, por exemplo, alguma propriedade inexistente apareça em posse de um usuário desavisado da plataforma. Além disso, os dados pessoais, embora não permitam diretamente o roubo de dinheiro, podem ser usados ​​por cibercriminosos para ataques de phishing.

O Departamento de Tecnologias da Informação de Moscou, cujos especialistas desenvolveram o portal mos.ru, não confirmou a existência da vulnerabilidade, observando que a autorização no aplicativo móvel Moscow State Services é impossível sem especificar uma senha. Apesar disso, a mensagem diz que após o envio de uma solicitação ao DIT, a vulnerabilidade foi corrigida.