27/05/2021

27/05/2021

Nova vaga de apps na Play Store a expor dados dos utilizadores


Dados pessoais de 100 milhões de utilizadores foram expostos por apps disponíveis na Google Play Store. 


Investigação da Check Point Research (CPR), área de Threat Intelligence da  Check Point® Software Technologies Ltd. , fornecedor líder global de soluções de cibersegurança, revela que mais de 100 milhões de utilizadores tiveram os seus dados expostos por programadores de aplicações móveis.

 

Depois de examinar 23 aplicações móveis para Android disponíveis na Google Play Store, a CPR viu inúmeros programadores de aplicações a utilizarem indevidamente serviços cloud de terceiros, tais como bases de dados em tempo real, gestores de notificações e armazenamento cloud. A utilização indevida resultou na exposição de dados não só dos próprios programadores, como dos utilizadores das apps. Entre as informações expostas incluíam-se e-mails, mensagens de chat, localização, palavras-passe, fotografias, entre outros.

 

Má configuração de bases de dados em tempo-real

Uma base de dados em tempo-real está em constante funcionamento e atualização, ao contrário da informação que é, por exemplo, armazenada num disco. Os programadores de aplicações dependem de bases de dados em tempo-real para armazenar dados na cloud. A CPR conseguiu aceder com sucesso a informações sensíveis de bases de dados em tempo-real de 13 aplicações para Android, com 10 000 a 10 milhões de downloads. Se um agente malicioso obtivesse acesso aos mesmos dados extraídos pela CPR, poderia levar a cabo uma série de ataques, como fraude, roubo de identidade ou o chamado service-swipe, tática em que se procura aceder a outras plataformas com os dados obtidos para um serviço.

 

Três exemplos de aplicações vulneráveis encontradas na Google Play Store:

 

Nome da App

Descrição

Dados extraídos

Nº de Downloads

Astro Guru

App de astrologia, horóscopo e leitura de mãos

Nome, data de nascimento, género, localização, e-mail e detalhes de pagamento

10 milhões

T’Leva

App de táxis

Registo de mensagens entre condutores e passageiros, bem como os nomes completos dos utilizadores, números de telefone e as localizações de viagem (de partida e destino)

50,000

Logo Maker

Design gráfico grátis e templates de logotipos

E-mail, palavra-passe, nome de utilizador, ID de utilizador

10 milhões

 

Chaves de serviços de notificações push integradas nas apps

Os programadores precisam de enviar notificações push para interagir com os utilizadores. A maioria dos serviços de notificações push requer uma chave para reconhecer a identidade do remetente do pedido. A CPR encontrou estas chaves incorporadas em várias aplicações. Apesar das informações dos serviços de notificações push não serem sempre sensíveis, a possibilidade de enviar notificações em nome do programador é mais do que suficiente para atrair agentes maliciosos.

 

Chaves de armazenamento Cloud integradas nas apps

O armazenamento Cloud em aplicações móveis é uma solução simples para aceder a ficheiros partilhados tanto pelo programador, como pela aplicação instalada. A CPR encontrou aplicações na Google Play cujas chaves de encriptação da Cloud foram expostas. Abaixo, dois exemplos:

 

Nome da App

Descrição

Dados extraídos

Nº de Downloads

Screen Recorder 

Utilizada para gravar o ecrã do dispositivo e guardar as gravações num serviço Cloud

Acesso às gravações guardadas

+ de 10 milhões

iFax

Envia e recebe faxes através do telefone gratuitamente

Transmissões de fax armazenadas

500,000

 

A maioria das apps que analisámos ainda estão a expor dados neste momento. Em última análise, as vítimas tornam-se especialmente vulneráveis a roubos de identidade, phishing e vários outros vetores de ataque. A última investigação da Check Point revela uma realidade preocupante, onde os programadores das aplicações colocam em risco não só os seus dados, mas os dos próprios utilizadores,” começa por dizer Aviran Hazum, Manager of Mobile Research da Check Point SoftwarePor não terem seguido as melhores práticas aquando da configuração e integração de serviços cloud terceiros nas suas aplicações, dezenas de milhões de dados de utilizadores privados foram expostos. Esperamos que a nossa investigação incentive a comunidade de programadores a ser extra cuidadosa com a forma como usam e configuram este tipo de serviços. Para resolver o problema, os programadores têm agora de passar a limpo as suas aplicações à procura das vulnerabilidades que demos a conhecer.”

 

A CPR contactou a Google e cada um dos programadores responsáveis pelas aplicações antes da divulgação da presente investigação e uma das aplicações alterou as suas configurações. Para mitigar os riscos descritos, a CPR recomenda a instalação de uma solução móvel de defesa que consiga detetar e responder a uma variedade de ataques diferentes, fornecendo, ao mesmo tempo, uma experiência de utilização simples e acessível.

  

0 comments:

Enviar um comentário