Alerta Android! 23 apps da Play Store colocam em risco mais de 100 milhões de utilizadores

Rui Bacelar
Comentar

A Google Play Store volta a ser assolada por uma vaga de aplicações que colocam em risco os dados dos seus utilizadores. É uma temática recorrente com os meliantes a tirar proveito da grande popularidade do sistema operativo Android.

Desta feita, a utilização indevida de serviços cloud de terceiros pelos programadores das aplicações deixava milhões de dados pessoais expostos a vulnerabilidades. Podem ter sido afetados mais de 100 milhões de utilizadores destas apps Android.

A mais recente ameaça à privacidade e segurança de dados no Android

app Android

O alerta foi dado pela agência Check Point Research (CPR), especialista em soluções de cibersegurança. Assim, de acordo com a sua investigação, mais de 100 milhões de utilizadores tiveram os seus dados expostos por programadores de aplicações móveis.

Após examinar 23 apps móveis para Android disponíveis na Google Play Store, a CPR viu inúmeros programadores de aplicações a utilizarem indevidamente serviços cloud de terceiros. Por exemplo, bases de dados em tempo real, gestores de notificações e armazenamento cloud.

A utilização indevida resultou na exposição de dados não só dos próprios programadores, como dos utilizadores das apps. Entre as informações expostas incluíam-se e-mails, mensagens de chat, localização, palavras-passe, fotografias, entre outros.

Má configuração de bases de dados em tempo-real

Uma base de dados em tempo-real está em constante funcionamento e atualização. Isto ao contrário da informação que é, por exemplo, armazenada num disco. Os programadores de aplicações dependem de bases de dados em tempo-real para armazenar dados na cloud.

A CPR conseguiu aceder com sucesso a informações sensíveis de bases de dados em tempo-real de 13 aplicações para Android, com 10 000 a 10 milhões de downloads.

Portanto, se um agente malicioso obtivesse acesso aos mesmos dados, poderia levar a cabo uma série de ataques. Este podiam configurar a fraude, usurpação de identidade ou o chamado service-swipe, tática em que se procura aceder a outras plataformas com os dados obtidos para um serviço.

Três exemplos de aplicações vulneráveis encontradas na Google Play Store:

Nome da App Descrição Dados extraídos N.º de Downloads
Astro Guru App de astrologia, horóscopo e leitura de mãos Nome, data de nascimento, género, localização, e-mail e detalhes de pagamento 10 milhões
T’Leva App de táxis Registo de mensagens entre condutores e passageiros, bem como os nomes completos dos utilizadores, números de telefone e as localizações de viagem (de partida e destino) 50 000
Logo Maker Design gráfico grátis e templates de logotipos E-mail, palavra-passe, nome de utilizador, ID de utilizador 10 milhões

Chaves de serviços de notificações push integradas nas apps

Os programadores precisam de enviar notificações push para interagir com os utilizadores.

A maioria dos serviços de notificações push requer uma chave para reconhecer a identidade do remetente do pedido. A CPR encontrou estas chaves incorporadas em várias aplicações.

Apesar de as informações dos serviços de notificações push não serem sempre sensíveis, a possibilidade de enviar notificações em nome do programador é mais que suficiente para atrair agentes maliciosos.

Chaves de armazenamento Cloud integradas nas apps

O armazenamento Cloud em aplicações móveis é uma solução simples para aceder a ficheiros partilhados tanto pelo programador, como pela aplicação instalada.

Também aqui foram encontradas aplicações na Google Play cujas chaves de encriptação da Cloud foram expostas. Veja-se, em seguida, dois exemplos:

Nome da App Descrição Dados extraídos N.º de Downloads

Screen Recorder

Utilizada para gravar o ecrã do dispositivo e guardar as gravações num serviço Cloud

Acesso às gravações guardadas

+ de10 milhões

iFax

Envia e recebe faxes através do telefone gratuitamente

Transmissões de fax armazenadas

500 000

Face às descobertas a entidade supracitada já contactou a Google e cada um dos programadores responsáveis pelas apps em questão.

Pori fim, pode ser uma boa ideia remover estas apps listadas no artigo dos vossos dispositivos Android.

Editores 4gnews recomendam:

Rui Bacelar
Rui Bacelar
Na escrita e comunicação repousa o gosto, nas leis a formação. É na tecnologia que encontrou o seu expoente máximo e na 4gnews a plataforma ideal para a redação e produção de vídeo.