Aplicações da Play Store da Google expõem dados de 100 milhões de utilizadores

Uma nova investigação da Check Point Research revela que mais de 100 milhões de utilizadores tiveram os seus dados expostos por programadores de aplicações disponíveis na Play Store da Google.

Em comunicado, a empresa explica que, depois de examinar 23 aplicações para Android disponíveis na loja digital de Google viu inúmeros programadores de aplicações a utilizarem indevidamente serviços cloud de terceiros, tais como bases de dados em tempo real, gestores de notificações e armazenamento cloud.

A utilização indevida resultou na exposição de dados não só dos próprios programadores, como dos utilizadores das apps. Entre as informações expostas incluíam-se e-mails, mensagens de chat, localização, palavras-passe, fotografias, entre outros.

Uma base de dados em tempo-real está em constante funcionamento e atualização, ao contrário da informação que é, por exemplo, armazenada num disco. Os programadores de aplicações dependem de bases de dados em tempo-real para armazenar dados na cloud.

A Check Point Research conseguiu aceder com sucesso a informações sensíveis de bases de dados em tempo-real de 13 aplicações para Android, com 10.000 a 10 milhões de downloads. Se um agente malicioso obtivesse acesso aos mesmos dados extraídos pelos investigadores, poderia levar a cabo uma série de ataques, como fraude, roubo de identidade ou de “service-swipe”, uma tática em que se procura aceder a outras plataformas com os dados obtidos para um serviço.

Os programadores precisam de enviar notificações push para interagir com os utilizadores. A maioria dos serviços de notificações push requer uma chave para reconhecer a identidade do remetente do pedido. Os investigadores encontraram estas chaves incorporadas em várias aplicações. Apesar das informações dos serviços de notificações push não serem sempre sensíveis, a possibilidade de enviar notificações em nome do programador é mais do que suficiente para atrair agentes maliciosos.

O armazenamento Cloud em aplicações móveis é uma solução simples para aceder a ficheiros partilhados tanto pelo programador, como pela aplicação instalada. Os especialistas encontraram aplicações na Google Play cujas chaves de encriptação da Cloud foram expostas.

“A maioria das apps que analisámos ainda estão a expor dados neste momento. Em última análise, as vítimas tornam-se especialmente vulneráveis a roubos de identidade, phishing e vários outros vetores de ataque. A última investigação da Check Point revela uma realidade preocupante, onde os programadores das aplicações colocam em risco não só os seus dados, mas os dos próprios utilizadores,” afirma Aviran Hazum, Manager of Mobile Research da Check Point Software.

“Por não terem seguido as melhores práticas aquando da configuração e integração de serviços cloud terceiros nas suas aplicações, dezenas de milhões de dados de utilizadores privados foram expostos. Esperamos que a nossa investigação incentive a comunidade de programadores a ser extra cuidadosa com a forma como usam e configuram este tipo de serviços. Para resolver o problema, os programadores têm agora de passar a limpo as suas aplicações à procura das vulnerabilidades de que demos a conhecer.”

A Check Point Research contactou a Google e cada um dos programadores responsáveis pelas aplicações antes da divulgação da investigação e uma das apps alterou as suas configurações. Para mitigar os riscos, os investigadores recomendam a instalação de uma solução móvel de defesa que consiga detetar e responder a uma variedade de ataques diferentes, fornecendo, ao mesmo tempo, uma experiência de utilização simples e acessível.