More Than 4,000 Android Apps are Reportedly Leaking User Passwords
Algumas pessoas podem produzir uma longa lista de argumentos contra o uso do Android, e você pode apostar que a segurança estará bem próxima do topo. A publicação de aplicativos no Google Play é muito mais fácil em comparação com a App Store da Apple, e os operadores de malware estão tirando proveito disso. Apesar das inúmeras campanhas e das precauções de segurança implementadas como resultado, os aplicativos mal-intencionados ainda conseguem escapar das fendas de vez em quando, e os usuários do Android são constantemente lembrados a ter cuidado com o software que instalam e usam.
Um estudo recente realizado por uma equipe de pesquisadores da Comparitech, no entanto, mostra que, por mais vigilante que você seja, você ainda pode expor seus dados. Segundo ele, graças a alguns erros de configuração, milhões de registros salvos por milhares de aplicativos podem ser acessados com uma única consulta de pesquisa e, desta vez, o problema não se limita ao Android.
Milhares de aplicativos baseados no Firebase armazenam dados do usuário em bancos de dados desprotegidos
A equipe de especialistas foi liderada por Bob Diachenko, que queria aprender mais sobre como os desenvolvedores usam o Firebase. O Firebase é uma plataforma de desenvolvimento de aplicativos que fornece aos programadores várias ferramentas para gerenciar aplicativos móveis e da Web, incluindo mecanismos de autenticação e recursos de mensagens na nuvem. Diachenko estava interessado nos mecanismos de armazenamento de dados do Firebase.
A pesquisa começou com pouco mais de meio milhão de aplicativos Android. 155 mil deles eram baseados no Firebase e ele usou a API REST da plataforma para acessar os dados armazenados pelos aplicativos. Os bancos de dados de 11.730 dos aplicativos eram acessíveis ao público e não estavam protegidos por uma senha, e deles, 4.282 continham informações confidenciais. Os dados vazados incluíam, entre outras coisas:
- 156 mil endereços IP
- 560 mil endereços físicos
- 1 milhão de senhas /li>
- 4,4 milhões de nomes de usuários
- 5,3 milhões de números de telefone
- 6,2 milhões de registros contendo dados de GPS
- 6,8 milhões de mensagens de bate-papo
- 7 milhões de endereços de email
- 18,3 milhões de nomes
Além de tudo isso, alguns dos registros expostos também continham dados do cartão de crédito e até fotos de documentos de identificação.
Ainda mais preocupante, os dados são armazenados no formato JSON e indexados pelo Bing. Em outras palavras, fazer o download de um banco de dados inteiro cheio de informações confidenciais pode ser tão fácil quanto inserir uma consulta no mecanismo de pesquisa da Microsoft.
Qual é o tamanho exato do problema?
Para enfatizar a seriedade da situação, a equipe de Diachenko tentou colocar os números em perspectiva. Os aplicativos vulneráveis compreendem menos de 1% de todos os aplicativos analisados pelos especialistas, o que pode não parecer muito, mas se assumirmos que a taxa é a mesma para toda a Play Store, chegaremos à conclusão de que cerca de 24 milhares de aplicativos oferecidos no Google Play estão vazando dados confidenciais. E se você acha que isso não é tão ruim, provavelmente considere o fato de que os 4.282 aplicativos que Diachenko e sua equipe analisaram têm uma contagem combinada de downloads de 4,22 bilhões.
O problema vai além do Google Play e Android. Os desenvolvedores de aplicativos iOS e baseados na Web também usam o Firebase, e só podemos imaginar quantos deles cometeram o mesmo erro de configuração.
Os criadores dos 4.282 aplicativos vulneráveis foram instados a proteger seus bancos de dados depois que Diachenko divulgou o problema ao Google, e os desenvolvedores de aplicativos móveis são aconselhados a tomar um pouco mais de cuidado ao configurar seus aplicativos baseados no Firebase. Enquanto isso, os usuários são informados de que devem usar senhas exclusivas para todas as suas contas e não devem compartilhar muita informação com os aplicativos em seus smartphones. Infelizmente, neste caso em particular, isso é tudo que eles podem fazer.