Na realidade, uma análise mais profunda às aplicações revelou que os dados são enviados em HTTP e sem encriptação, ou seja, estão desprotegidos na viagem até aos servidores. Devido à ausência de encriptação, a informação pode ser intercetada por qualquer pessoa – quer através de redes Wi-Fi desprotegidas, pelo Fornecedor de Serviços de Internet ou através de malware num router em casa. Além disso, as informações podem também ser modificadas, o que significa que a aplicação irá apresentar anúncios maliciosos em vez de legítimos. Os utilizadores serão então convidados a fazer o download de uma aplicação apresentada e que nada mais é do que malware que irá colocar os seus dispositivos em risco.
Investigadores da Kaspersky Lab examinaram, numa Sandbox Android interna, os registos e o tráfego de rede de aplicações para descobrir quais aquelas que transmitem informações de utilizadores não encriptadas através de HTTP. Foram identificados vários domínios, alguns pertencentes a grandes e conhecidas redes de publicidade. Num total de milhões de aplicações que utilizam estes SDKs, a sua maioria transmite, de forma insegura e desprotegida, pelo menos um dos seguintes dados:
- Informação pessoal, maioritariamente o nome, idade e género do utilizador, podendo incluir, em alguns casos, o seu salário. O seu número de telefone e email podem também ser divulgados (os utilizadores partilham muita da sua informação pessoal em dating apps, de acordo com um outro estudo realizado pela Kaspersky Lab);
- Informação do dispositivo, tal como o fornecedor, modelo, resolução de ecrã, versão do sistema e nome da aplicação;
- Localização do dispositivo.
“A escala do que, à primeira vista, achávamos que fossem apenas casos isolados de desenvolvimento descuidado de aplicações é avassaladora. Milhões de aplicações incluem SDKs de terceiros, expondo as informações privadas dos utilizadores e tornando mais fácil a sua interceção e modificação – o que leva a infeções de malware, extorsões e outras formas de ataque aos seus dispositivos,” disse Roman Unuchek, Investigador de Segurança na Kaspersky Lab.
Os investigadores da empresa de cibersegurança aconselham:
- Verificar as permissões das aplicações. Não permitir o acesso se não se compreender o motivo. A maioria das aplicações não necessita de acesso à localização do utilizador, como tal a mesma não deverá ser concedida.
- Utilizar uma VPN. Esta irá encriptar o tráfego de rede entre o dispositivo e os servidores. Apesar de os dados permanecerem desencriptados fora dos servidores da VPN, o risco de divulgação durante o processo é menor.
Para mais informação sobre SDKs de terceiros, visite o post em Securelist.com.