Configuração incorreta de aplicativos expõe dados de milhões de usuários Android

Após examinar 23 aplicativos Android, a Check Point Research (CPR) descobriu que os desenvolvedores de aplicativos móveis expuseram dados de mais de 100 milhões de usuários no mundo por meio de configurações incorretas de serviços em nuvem. Entre as informações expostas incluíam-se e-mails, mensagens de chat, localização, senhas, fotos, entre outras.

Ao efetuar o levantamento, os pesquisadores da CPR notaram que inúmeros desenvolvedores de aplicativos utilizaram indevidamente serviços em nuvem de terceiros, tais como bases de dados em tempo real, gerenciadores de notificações e armazenamento em nuvem. A utilização indevida resultou na exposição de dados não só dos próprios desenvolvedores, ma também dos usuários dos aplicativos.

Os pesquisadores conseguiram acessar com sucesso as informações sensíveis de bases de dados em tempo real de 13 aplicativo para Android, com entre 10 mil e 10 milhões de downloads. Uma base de dados em tempo real está em constante funcionamento e atualização, ao contrário da informação de que é, por exemplo, armazenada em um disco. Os desenvolvedores de aplicativos dependem de bases de dados em tempo real para armazenar dados na nuvem.

Se um atacante obtivesse acesso aos mesmos dados extraídos pela equipe da CPR, poderia ter realizado uma série de ataques envolvendo fraude, roubo de identidade ou o chamado service-swipe (tática que tenta usar a mesma combinação de nome de usuário e senha em outros serviços).

“A maioria dos aplicativos que analisamos ainda expõe os dados neste momento. Em última análise, as vítimas tornam-se especialmente vulneráveis a roubos de identidade, phishing e vários outros vetores de ataque. Essa pesquisa da Check Point Research revela uma realidade preocupante, na qual os desenvolvedores dos aplicativos colocam em risco não só os seus dados, mas os dos próprios usuários”, aponta Aviran Hazum, gerente de pesquisas mobile da Check Point Software Technologies.

Astro Guru e Logo Maker são dois dos aplicativos vulneráveis encontrados na Google Play Store: Astro Guru, app de astrologia, horóscopo e leitura de mãos, com uma média de 10 milhões de downloads, teve dados extraídos como nome, data de nascimento, gênero, localização, e-mail e detalhes de pagamento. O Logo Maker, app de design gráfico grátis e templates de logotipos, com cerca de 10 milhões de downloads, teve dados como e-mail, senha, nome de usuário, ID de usuário extraídos.

Chaves de notificação push incorporadas em aplicativos

Os desenvolvedores precisam enviar notificações push para interagir com os usuários. A maioria dos serviços de notificações push requer uma chave para reconhecer a identidade do remetente do pedido. A CPR encontrou estas chaves incorporadas em vários aplicativos. Apesar das informações dos serviços de notificações push não serem sempre sensíveis, a possibilidade de enviar notificações em nome do desenvolvedor é mais do que suficiente para atrair agentes maliciosos.

Chaves de armazenamento em nuvem incorporadas em aplicativos

O armazenamento Cloud em aplicativos móveis é uma solução simples para acessar arquivos compartilhados tanto pelo desenvolvedor como pelo aplicativo instalado. Os pesquisadores da Check Point encontraram aplicativos na Google Play cujas chaves de encriptação da nuvem foram expostas. A exemplo do app Screen Recorder, utilizado para gravar a tela do dispositivo e guardar as gravações em um serviço em nuvem, baixado por mais de 10 milhões de pessoas, as gravações armazenadas podiam ser extraídas.

“Por não terem seguido as melhores práticas em relação à configuração e integração de serviços em nuvem de terceiros em seus aplicativos, dezenas de milhões de dados de usuários privados foram expostos. Esperamos que a nossa investigação incentive a comunidade de desenvolvedores e programadores a ser extremamente cuidadosa com a forma como usam e configuram este tipo de serviços. Para resolver isso, os desenvolvedores precisam examinar seus aplicativos em busca das vulnerabilidades que descrevemos”, comenta Hazum.

A Check Point Research contatou o Google e cada um dos desenvolvedores responsáveis pelos aplicativos antes da divulgação desta pesquisa e análise para compartilhar essas descobertas feitas pelos pesquisadores da empresa. Posteriormente, um dos aplicativos teve sua configuração alterada.

Para mitigar as ameaças relatadas nesta análise, a equipe de pesquisadores da CPR recomenda a instalação de uma solução de proteção móvel eficaz que consiga detectar e responder a uma variedade de ataques diferentes, ao mesmo tempo em que fornece uma experiência positiva ao usuário.