Uma pesquisa realizada pela empresa de segurança mobile Zimperium revelou que 18 mil aplicativos para Android e iPhone (iOS) estão expondo dados dos usuários devido a problemas nas configurações de armazenamento na nuvem. Segundo relatório publicado pelo site Wired, os apps estariam vazando dados financeiros, números de telefone, senhas e até informações médicas. Algumas das falhas abrem espaço, inclusive, para alteração e roubo de dados, criando potencial para invasões e fraudes.
Os problemas foram encontrados em aplicativos que utilizam serviços públicos de nuvem, como Google Cloud, Amazon Web Services e Microsoft Azure, em vez de executarem o backup em seus próprios servidores. Segundo os pesquisadores, esses apps possuem falhas nas configurações de armazenamento feitas pelos desenvolvedores, o que torna os dados visíveis para praticamente qualquer pessoa. Os apps analisados possuem milhares ou milhões de usuários em todo o mundo.
Para descobrir as falhas, a Zimperium fez análises automáticas em mais de 1,3 milhão de aplicativos, nos sistemas da Apple e do Google. Deste total, 84 mil apps para Android e 47 mil para iOS utilizavam serviços públicos de nuvem. Dessa parcela, aproximadamente 14% expõem informações dos usuários, sendo 11.877 programas para Android e 6.608 para iOS.
Entre os aplicativos descobertos, estão uma carteira móvel que expõe dados bancários e informações de login, um app de transporte que revela dados de pagamento e aplicativos médicos que expõe resultados de testes e até imagens de perfil dos usuários.
Segundo o TechTudo, a Zimperium não divulgou os nomes dos programas afetados.
Os pesquisadores afirmam ter entrado em contato com alguns fabricantes, mas receberam poucas respostas dos desenvolvedores. Além disso, alegaram ser inviável notificar individualmente quase 20 mil empresas sobre os vazamentos. Enquanto isso, muitos programas ainda seguem com seus dados expostos.
Além dos dados dos usuários, os pesquisadores também encontraram credenciais de rede, arquivos de configuração do sistema e chaves de arquitetura de servidor em alguns dos aplicativos. Com essas informações em mãos, invasores poderiam usá-las para obter acesso mais profundo aos sistemas digitais das organizações. A Zimperium diz que, apesar de estarem expostos, não se pode afirmar que criminosos já descobriram ou obtiveram vantagem desses dados.
Segundo o CEO da Zimperium Shridhar Mittal, muitos desenvolvedores não configuram adequadamente o serviço de nuvem de forma que violações como essa pudessem ser evitadas. “Grupos de hackers já fazem esse tipo de varredura para encontrar configurações incorretas em serviços de nuvem da web. Considerando como pode ser difícil alcançar a pessoa certa dentro de uma organização — e como é comum as empresas terceirizarem o desenvolvimento de seus próprios aplicativos — provavelmente levará algum tempo para resolver o problema”, revelou à Wired.
Foto: Reprodução Google.