Na quinta-feira, a empresa de segurança cibernética Check Point Research divulgou um relatório detalhando 23 aplicativos Android com configurações e implementações de nuvem ruins que potencialmente deixam milhões de dados de usuários em risco. As informações que podem ter vazado incluem registros de e-mail, mensagens de bate-papo, informações de localização, imagens, IDs de usuário e senhas.
Vulnerabilidades de segurança acontecem. É apenas parte da programação de qualquer aplicativo. No entanto, quando as falhas resultam de práticas de codificação ruins, o problema pode ser particularmente irritante. A codificação de chaves de autenticação no aplicativo ou a falha ao configurar a autenticação em um banco de dados online é inaceitável para um desenvolvedor e, ainda assim, é uma ocorrência bastante comum.
Mais da metade dos aplicativos tem mais de 10 milhões de downloads cada, então o escopo de usuários afetados é enorme. A Check Point estima que esses aplicativos podem ter exposto mais de 100 milhões de dados de usuários.
A maioria dos aplicativos tinha bancos de dados em tempo real que os desenvolvedores deixaram abertos ao público. Esse problema é comum, e o CPR diz ser “amplo demais”. Seus pesquisadores descobriram que tinham acesso gratuito às informações nos bancos de dados de mais da metade dos aplicativos pesquisados.
“Muitos desenvolvedores sabem que armazenar chaves de serviços em nuvem em seus aplicativos é uma prática ruim.”
Eles também descobriram que nem metade dos aplicativos tinha suas chaves de armazenamento em nuvem incorporadas ao código de seus aplicativos. Por exemplo, o CPR recuperou chaves de um aplicativo de fax chamado “iFax” que teria concedido acesso a todas as transmissões de fax enviadas por mais de meio milhão de usuários do aplicativo. Os pesquisadores não acessaram esses registros por motivos éticos, mas verificaram por meio de análise de código que eles poderiam.
Um problema menos comum que eles descobriram, mas ainda digno de nota, foram as chaves de notificação por push codificadas. As chaves de notificação incorporadas não são tão severas quanto ter chaves de armazenamento em nuvem codificadas no programa, mas o CPR explica que é uma prática igualmente ruim.
“Embora os dados do serviço de notificação por push nem sempre sejam confidenciais, a capacidade de enviar notificações em nome do desenvolvedor é mais do que suficiente para atrair agentes mal-intencionados. Imagine se um aplicativo de meio de comunicação enviasse uma notificação falsa de entrada de notícias para seus usuários que direcionou-os a uma página de phishing solicitando a renovação de sua assinatura. Como a notificação se originou do aplicativo oficial, os usuários não suspeitarão de nada, pois têm certeza de que essa notificação foi enviada pelos desenvolvedores. “
A Check Point disse que notificou os fabricantes de aplicativos antes de divulgar essas vulnerabilidades, e vários seguiram com atualizações para corrigir os problemas. No entanto, os 23 aplicativos pesquisados são apenas uma amostra minúscula dos 2,87 milhões de aplicativos no Google Play. É provável que haja muitos mais por aí usando essas mesmas práticas inadequadas.