A Google Play Store volta a ser assolada por uma vaga de aplicações que colocam em risco os dados dos seus utilizadores. É uma temática recorrente com os meliantes a tirar proveito da grande popularidade do sistema operativo Android.
Desta feita, a utilização indevida de serviços cloud de terceiros pelos programadores das aplicações deixava milhões de dados pessoais expostos a vulnerabilidades. Podem ter sido afetados mais de 100 milhões de utilizadores destas apps Android.
A mais recente ameaça à privacidade e segurança de dados no Android
O alerta foi dado pela agência Check Point Research (CPR), especialista em soluções de cibersegurança. Assim, de acordo com a sua investigação, mais de 100 milhões de utilizadores tiveram os seus dados expostos por programadores de aplicações móveis.
Após examinar 23 apps móveis para Android disponíveis na Google Play Store, a CPR viu inúmeros programadores de aplicações a utilizarem indevidamente serviços cloud de terceiros. Por exemplo, bases de dados em tempo real, gestores de notificações e armazenamento cloud.
A utilização indevida resultou na exposição de dados não só dos próprios programadores, como dos utilizadores das apps. Entre as informações expostas incluíam-se e-mails, mensagens de chat, localização, palavras-passe, fotografias, entre outros.
Má configuração de bases de dados em tempo-real
Uma base de dados em tempo-real está em constante funcionamento e atualização. Isto ao contrário da informação que é, por exemplo, armazenada num disco. Os programadores de aplicações dependem de bases de dados em tempo-real para armazenar dados na cloud.
A CPR conseguiu aceder com sucesso a informações sensíveis de bases de dados em tempo-real de 13 aplicações para Android, com 10 000 a 10 milhões de downloads.
Portanto, se um agente malicioso obtivesse acesso aos mesmos dados, poderia levar a cabo uma série de ataques. Este podiam configurar a fraude, usurpação de identidade ou o chamado service-swipe, tática em que se procura aceder a outras plataformas com os dados obtidos para um serviço.
Três exemplos de aplicações vulneráveis encontradas na Google Play Store:
| Nome da App | Descrição | Dados extraídos | N.º de Downloads |
| Astro Guru | App de astrologia, horóscopo e leitura de mãos | Nome, data de nascimento, género, localização, e-mail e detalhes de pagamento | 10 milhões |
| T’Leva | App de táxis | Registo de mensagens entre condutores e passageiros, bem como os nomes completos dos utilizadores, números de telefone e as localizações de viagem (de partida e destino) | 50 000 |
| Logo Maker | Design gráfico grátis e templates de logotipos | E-mail, palavra-passe, nome de utilizador, ID de utilizador | 10 milhões |
Chaves de serviços de notificações push integradas nas apps
Os programadores precisam de enviar notificações push para interagir com os utilizadores.
A maioria dos serviços de notificações push requer uma chave para reconhecer a identidade do remetente do pedido. A CPR encontrou estas chaves incorporadas em várias aplicações.
Apesar de as informações dos serviços de notificações push não serem sempre sensíveis, a possibilidade de enviar notificações em nome do programador é mais que suficiente para atrair agentes maliciosos.
Chaves de armazenamento Cloud integradas nas apps
O armazenamento Cloud em aplicações móveis é uma solução simples para aceder a ficheiros partilhados tanto pelo programador, como pela aplicação instalada.
Também aqui foram encontradas aplicações na Google Play cujas chaves de encriptação da Cloud foram expostas. Veja-se, em seguida, dois exemplos:
| Nome da App | Descrição | Dados extraídos | N.º de Downloads |
|
Screen Recorder |
Utilizada para gravar o ecrã do dispositivo e guardar as gravações num serviço Cloud |
Acesso às gravações guardadas |
+ de10 milhões |
|
iFax |
Envia e recebe faxes através do telefone gratuitamente |
Transmissões de fax armazenadas |
500 000 |
Face às descobertas a entidade supracitada já contactou a Google e cada um dos programadores responsáveis pelas apps em questão.
Pori fim, pode ser uma boa ideia remover estas apps listadas no artigo dos vossos dispositivos Android.
Editores 4gnews recomendam:
- Samsung Galaxy F52 é oficial: smartphone 5G por preço irresistível
- Huawei FreeBuds 4 oficiais: auriculares Bluetooth com cancelamento de ruído
- Xiaomi POCO M3 Pro já à venda: compra o smartphone barato com 5G
