Má configuração de bases de dados em tempo-real
Uma base de dados em tempo-real está em constante funcionamento e atualização, ao contrário da informação que é, por exemplo, armazenada num disco. Os programadores de aplicações dependem de bases de dados em tempo-real para armazenar dados na cloud. A CPR conseguiu aceder com sucesso a informações sensíveis de bases de dados em tempo-real de 13 aplicações para Android, com 10 000 a 10 milhões de downloads. Se um agente malicioso obtivesse acesso aos mesmos dados extraídos pela CPR, poderia levar a cabo uma série de ataques, como fraude, roubo de identidade ou o chamado service-swipe, tática em que se procura aceder a outras plataformas com os dados obtidos para um serviço.
Três exemplos de aplicações vulneráveis encontradas na Google Play Store:
Nome da App |
Descrição |
Dados extraídos |
Nº de Downloads |
Astro Guru |
App de astrologia, horóscopo e leitura de mãos |
Nome, data de nascimento, género, localização, e-mail e detalhes de pagamento |
10 milhões |
T’Leva |
App de táxis |
Registo de mensagens entre condutores e passageiros, bem como os nomes completos dos utilizadores, números de telefone e as localizações de viagem (de partida e destino) |
50,000 |
Logo Maker |
Design gráfico grátis e templates de logotipos |
E-mail, palavra-passe, nome de utilizador, ID de utilizador |
10 milhões |
Chaves de serviços de notificações push integradas nas apps
Os programadores precisam de enviar notificações push para interagir com os utilizadores. A maioria dos serviços de notificações push requer uma chave para reconhecer a identidade do remetente do pedido. A CPR encontrou estas chaves incorporadas em várias aplicações. Apesar das informações dos serviços de notificações push não serem sempre sensíveis, a possibilidade de enviar notificações em nome do programador é mais do que suficiente para atrair agentes maliciosos.
Chaves de armazenamento Cloud integradas nas apps
O armazenamento Cloud em aplicações móveis é uma solução simples para aceder a ficheiros partilhados tanto pelo programador, como pela aplicação instalada. A CPR encontrou aplicações na Google Play cujas chaves de encriptação da Cloud foram expostas. Abaixo, dois exemplos:
Nome da App |
Descrição |
Dados extraídos |
Nº de Downloads |
Screen Recorder |
Utilizada para gravar o ecrã do dispositivo e guardar as gravações num serviço Cloud |
Acesso às gravações guardadas |
+ de 10 milhões |
iFax |
Envia e recebe faxes através do telefone gratuitamente |
Transmissões de fax armazenadas |
500,000 |
“A maioria das apps que analisámos ainda estão a expor dados neste momento. Em última análise, as vítimas tornam-se especialmente vulneráveis a roubos de identidade, phishing e vários outros vetores de ataque. A última investigação da Check Point revela uma realidade preocupante, onde os programadores das aplicações colocam em risco não só os seus dados, mas os dos próprios utilizadores,” começa por dizer Aviran Hazum, Manager of Mobile Research da Check Point Software. “Por não terem seguido as melhores práticas aquando da configuração e integração de serviços cloud terceiros nas suas aplicações, dezenas de milhões de dados de utilizadores privados foram expostos. Esperamos que a nossa investigação incentive a comunidade de programadores a ser extra cuidadosa com a forma como usam e configuram este tipo de serviços. Para resolver o problema, os programadores têm agora de passar a limpo as suas aplicações à procura das vulnerabilidades de que demos a conhecer.”
A CPR contactou a Google e cada um dos programadores responsáveis pelas aplicações antes da divulgação da presente investigação e uma das aplicações alterou as suas configurações. Para mitigar os riscos descritos, a CPR recomenda a instalação de uma solução móvel de defesa que consiga detetar e responder a uma variedade de ataques diferentes, fornecendo, ao mesmo tempo, uma experiência de utilização simples e acessível.