Uma equipe de pesquisadores de cibersegurança encontraram mais de 2,1 mil aplicativos móveis cujos bancos de dados – que ficam hospedados na nuvem – estavam desprotegidos e expostos. Realizada durante três meses pela Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies, a pesquisa encontrou dados confidenciais de vários aplicativos móveis expostos e disponíveis para qualquer pessoa com um navegador.
LEIA MAIS: Vazamento de dados da Samsung coloca API como alvo de hackers
Conforme explicam os pesquisadores, só era necessário pesquisar “VirusTotal”, uma subsidiária do Google, que é um serviço de uma ferramenta online gratuita que verifica arquivos e URLs para detectar vírus, cavalos de Troia e outras formas de malware. Essa ferramenta identificou apps expostos que variam entre 10 mil e 10 milhões de downloads.
Entre as informações confidenciais encontradas estavam mensagens de chat em aplicativos populares de namoro, fotos pessoais e familiares, IDs de token em um aplicativo de saúde, dados de plataformas de troca de criptomoedas, entre outras. A Check Point Research alerta sobre a facilidade em localizar conjuntos de dados e recursos críticos de aplicativos consultando repositórios públicos e incentiva o mercado a aplicar as melhores práticas para segurança na nuvem.
As plataformas de nuvem mudaram a maneira como os desenvolvedores trabalham e se tornaram um padrão no desenvolvimento de aplicativos. Ao escrever o código, os desenvolvedores investem muitos recursos para proteger um aplicativo contra várias formas de ataques. No entanto, os desenvolvedores podem negligenciar a configuração adequada do banco de dados na nuvem, deixando-os expostos em tempo real, o que pode resultar em uma violação catastrófica se explorado.
Como os dados ficaram expostos
Em geral, os desenvolvedores alteram manualmente as configurações padrão bloqueadas e protegidas das regras de segurança para executar testes. Se for deixado desbloqueado e desprotegido antes de liberar o aplicativo para produção, o banco de dados ficará aberto para qualquer pessoa que o acesse e, portanto, suscetível a leitura e gravação no banco de dados.
LEIA MAIS: Vírus mais popular do mundo usa guerra na Ucrânia para atrair cliques
Dessa forma, para acessar os bancos de dados expostos, o procedimento é simples, segundo os pesquisadores de cibersegurança:
- Procurar aplicativos móveis que se comunicam com serviços em nuvem no VirusTotal.
- Arquivar aqueles que têm acesso direto aos dados.
- Navegar no link recebido.
A CPR destaca que é fácil localizar conjuntos de dados e recursos críticos que estão abertos na nuvem para qualquer pessoa que possa simplesmente acessá-los via navegador. Um cibercriminoso pode consultar o VirusTotal para obter o caminho completo para a nuvem de um aplicativo móvel, o que mostra a vulnerabilidade dessa questão.
“Por fim, com esta pesquisa, provamos como é fácil ocorrer uma violação ou exploração de dados, pois a quantidade de dados que fica aberta e disponível para qualquer pessoa na nuvem é impressionante. É muito mais fácil violar do que pensamos”, conclui Lotem Finkelstein, chefe de Inteligência de Ameaças da Check Point Software Technologies.
Exemplos de exposições
Os pesquisadores de cibersegurança da CPR não quiseram revelar quais são os aplicativos com os bancos de dados expostos, mas mostraram exemplos. Veja a seguir:
- Aplicativo de loja de departamentos, uma das maiores redes da América do Sul, com mais de 10 milhões de downloads, teve credenciais de gateway de API e chave de API expostos. Em teoria, esses dados não envolvem o de usuários finais (clientes), mas podem abrir brechas de segurança para invasão do app por hackers.
- Aplicativo rastreador de corrida (running), feito para analisar desempenhos de corrida e com mais de 100 mil downloads, contava com diversos dados expostos. Entre eles, coordenadas de GPS dos usuários e outros parâmetros de saúde, como frequência cardíaca. As coordenadas das vítimas podem ser usadas para criar mapas para rastrear sua localização.
- Aplicativo de namoro para pessoas com deficiência, com mais de 10 mil downloads, teve 50 mil mensagens privadas no banco de dados abertas.
- Aplicativo de design de logotipo, amplamente utilizado para criação de logotipo e design gráfico – são mais de 10 milhões de downloads – teve 130 mil nomes de usuários, e-mails e senhas expostos.
- Aplicativo de plataforma de áudio social para usuários compartilharem e ouvirem podcasts independentes e com mais de 5 milhões de downloads teve dados bancários dos usuários, localização, números de telefone, mensagens de bate-papo, histórico de compras, entre outras informações, expostos.