Um SDK é um conjunto de ferramentas de desenvolvimento, muitas vezes distribuído gratuitamente, que permite que os criadores de software se concentrem nos principais elementos de uma aplicação, delegando outras funcionalidades para os SDKs. Os autores usam, muitas vezes, código de terceiros para poupar tempo, reutilizando funcionalidades existentes para desenvolver partes da aplicação. Por exemplo, SDKs de publicidade recolhem informações dos utilizadores para lhes apresentarem anúncios mais relevantes para os seus gostos, ajudando assim os programadores a rentabilizar os seus produtos. Os kits enviam essas informações recolhidas para os domínios de redes de publicidade em todo o mundo, para que depois se consigam apresentar anúncios para um target mais específico.

Na realidade, uma análise mais profunda às aplicações revelou que os dados são enviados em HTTP e sem encriptação, ou seja, estão desprotegidos na viagem até aos servidores. Devido à ausência de encriptação, a informação pode ser intercetada por qualquer pessoa – quer através de redes Wi-Fi desprotegidas, pelo Fornecedor de Serviços de Internet ou através de malware num router em casa. Além disso, as informações podem também ser modificadas, o que significa que a aplicação irá apresentar anúncios maliciosos em vez de legítimos. Os utilizadores serão então convidados a fazer o download de uma aplicação apresentada e que nada mais é do que malware que irá colocar os seus dispositivos em risco.

Investigadores da Kaspersky Lab examinaram, numa Sandbox Android interna, os registos e o tráfego de rede de aplicações para descobrir quais aquelas que transmitem informações de utilizadores não encriptadas através de HTTP. Foram identificados vários domínios, alguns pertencentes a grandes e conhecidas redes de publicidade. Num total de milhões de aplicações que utilizam estes SDKs, a sua maioria transmite, de forma insegura e desprotegida, pelo menos um dos seguintes dados:

  • Informação pessoal, maioritariamente o nome, idade e género do utilizador, podendo incluir, em alguns casos, o seu salário. O seu número de telefone e email podem também ser divulgados (os utilizadores partilham muita da sua informação pessoal em dating apps, de acordo com um outro estudo realizado pela Kaspersky Lab);
  • Informação do dispositivo, tal como o fornecedor, modelo, resolução de ecrã, versão do sistema e nome da aplicação;
  • Localização do dispositivo.

 

“A escala do que, à primeira vista, achávamos que fossem apenas casos isolados de desenvolvimento descuidado de aplicações é avassaladora. Milhões de aplicações incluem SDKs de terceiros, expondo as informações privadas dos utilizadores e tornando mais fácil a sua interceção e modificação – o que leva a infeções de malware, extorsões e outras formas de ataque aos seus dispositivos,” disse Roman Unuchek, Investigador de Segurança na Kaspersky Lab.

Os investigadores da empresa de cibersegurança aconselham:

  • Verificar as permissões das aplicações. Não permitir o acesso se não se compreender o motivo. A maioria das aplicações não necessita de acesso à localização do utilizador, como tal a mesma não deverá ser concedida.
  • Utilizar uma VPN. Esta irá encriptar o tráfego de rede entre o dispositivo e os servidores. Apesar de os dados permanecerem desencriptados fora dos servidores da VPN, o risco de divulgação durante o processo é menor.

Para mais informação sobre SDKs de terceiros, visite o post em Securelist.com.

Classifique este item
(0 votos)
Ler 1536 vezes
Tagged em
Top