Dados pessoais de 100 milhões de utilizadores expostos por apps disponíveis na Google Play Store

-

 


Utilização indevida de serviços cloud de terceiros pelos programadores das aplicações deixava milhões de dados pessoais expostos a vulnerabilidades

 

20 de maio de 2021, Maputo, Moçambique Investigação da Check Point Research (CPR), área de Threat Intelligence da  Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, revela que mais de 100 milhões de utilizadores tiveram os seus dados expostos por programadores de aplicações móveis.

 

Depois de examinar 23 aplicações móveis para Android disponíveis na Google Play Store, a CPR viu inúmeros programadores de aplicações a utilizarem indevidamente serviços cloud de terceiros, tais como bases de dados em tempo real, gestores de notificações e armazenamento cloud. A utilização indevida resultou na exposição de dados não só dos próprios programadores, como dos utilizadores das apps. Entre as informações expostas incluíam-se e-mails, mensagens de chat, localização, palavras-passe, fotografias, entre outros.

 

Má configuração de bases de dados em tempo-real

Uma base de dados em tempo-real está em constante funcionamento e atualização, ao contrário da informação que é, por exemplo, armazenada num disco. Os programadores de aplicações dependem de bases de dados em tempo-real para armazenar dados na cloud. A CPR conseguiu aceder com sucesso a informações sensíveis de bases de dados em tempo-real de 13 aplicações para Android, com 10 000 a 10 milhões de downloads. Se um agente malicioso obtivesse acesso aos mesmos dados extraídos pela CPR, poderia levar a cabo uma série de ataques, como fraude, roubo de identidade ou o chamado service-swipe, tática em que se procura aceder a outras plataformas com os dados obtidos para um serviço.

 

Três exemplos de aplicações vulneráveis encontradas na Google Play Store:

 

Nome da App

Descrição

Dados extraídos

Nº de Downloads

Astro Guru

App de astrologia, horóscopo e leitura de mãos

Nome, data de nascimento, género, localização, e-mail e detalhes de pagamento

10 milhões

T’Leva

App de táxis

Registo de mensagens entre condutores e passageiros, bem como os nomes completos dos utilizadores, números de telefone e as localizações de viagem (de partida e destino)

50,000

Logo Maker

Design gráfico grátis e templates de logotipos

E-mail, palavra-passe, nome de utilizador, ID de utilizador

10 milhões

 

Chaves de serviços de notificações push integradas nas apps

Os programadores precisam de enviar notificações push para interagir com os utilizadores. A maioria dos serviços de notificações push requer uma chave para reconhecer a identidade do remetente do pedido. A CPR encontrou estas chaves incorporadas em várias aplicações. Apesar das informações dos serviços de notificações push não serem sempre sensíveis, a possibilidade de enviar notificações em nome do programador é mais do que suficiente para atrair agentes maliciosos.

 

Chaves de armazenamento Cloud integradas nas apps

O armazenamento Cloud em aplicações móveis é uma solução simples para aceder a ficheiros partilhados tanto pelo programador, como pela aplicação instalada. A CPR encontrou aplicações na Google Play cujas chaves de encriptação da Cloud foram expostas. Abaixo, dois exemplos:

 

Nome da App

Descrição

Dados extraídos

Nº de Downloads

Screen Recorder 

Utilizada para gravar o ecrã do dispositivo e guardar as gravações num serviço Cloud

Acesso às gravações guardadas

+ de 10 milhões

iFax

Envia e recebe faxes através do telefone gratuitamente

Transmissões de fax armazenadas

500,000

 

A maioria das apps que analisámos ainda estão a expor dados neste momento. Em última análise, as vítimas tornam-se especialmente vulneráveis a roubos de identidade, phishing e vários outros vetores de ataque. A última investigação da Check Point revela uma realidade preocupante, onde os programadores das aplicações colocam em risco não só os seus dados, mas os dos próprios utilizadores,” começa por dizer Aviran Hazum, Manager of Mobile Research da Check Point Software. Por não terem seguido as melhores práticas aquando da configuração e integração de serviços cloud terceiros nas suas aplicações, dezenas de milhões de dados de utilizadores privados foram expostos. Esperamos que a nossa investigação incentive a comunidade de programadores a ser extra cuidadosa com a forma como usam e configuram este tipo de serviços. Para resolver o problema, os programadores têm agora de passar a limpo as suas aplicações à procura das vulnerabilidades de que demos a conhecer.”

 

A CPR contactou a Google e cada um dos programadores responsáveis pelas aplicações antes da divulgação da presente investigação e uma das aplicações alterou as suas configurações. Para mitigar os riscos descritos, a CPR recomenda a instalação de uma solução móvel de defesa que consiga detetar e responder a uma variedade de ataques diferentes, fornecendo, ao mesmo tempo, uma experiência de utilização simples e acessível.

-FIM-

Siga a Check Point Research via:  

Blog: https://research.checkpoint.com/

Twitter: https://twitter.com/_cpresearch_

 

Siga a Check Point via:  
Twitter: https://www.twitter.com/checkpointsw

Facebook: https://www.facebook.com/checkpointsoftware

Blog: https://blog.checkpoint.com

YouTube: https://www.youtube.com/user/CPGlobal

LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

Sobre a Check Point Research   

A Check Point Research disponibiliza informação sobre ciberameaças aos clientes da Check Point Software e à vasta comunidade de cibersegurança. A equipa de investigação colige e analisa dados de ciberataques a nível global captados na ThreatCloud para manter os hackers sob vigilância, enquanto assegura que todas as soluções da Check Point se encontram atualizadas com as mais recentes proteções. A equipa de pesquisa conta com mais de 100 analistas e investigadores que cooperam com outros fabricantes de segurança, entidades legais e diversos CERTs.  

 

Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. (www.checkpoint.com) é um fornecedor líder em soluções de ciberseguraça para governos e empresas a nível mundial. O portfolio Infinity de soluções da Check Point protege empresas e organizações públicas de ciberataques de 5ª geração com um índice de captura de malware, ransomware e outros tipos de ataques líder no mercado. O Infinity é composto por três pilares principais, que proporcionam segurança total e prevenção contra ameaças da geração V em ambientes corporativos: a Check Point Harmony para utilizadores remotos; a Check Point CloudGuard para proteger automaticamente os ambientes cloud; e o Check Point Quantum, para proteger perímetros de rede e centros de dados, controlados na íntegra pelo mais amplo e intuitivo sistema de gestão de segurança unificado. A Check Point Software protege mais de 100,000 empresas de todas as dimensões.

 

©2021 Check Point Software Technologies Ltd. Todos os direitos reservados.

 

Do It On 

Fernando Batista 

Email: fernando.batista@doiton.agency  

 

Carolina Esteves

Email: carolina.esteves@doiton.agency

Comentários

Enviar um comentário

Mensagens populares deste blogue

Sobreviventes do massacre descrevem “execuções agoniantes” em campo de futebol de Muidumbe

-
  Decapitações, que terão sido realizadas entre os dias 6 a 8 de novembro, tinham sido desmentidas pelo governador de Cabo Delgado Sobreviventes do massacre de Muidumbe relataram à VOA nesta segunda-feira, 16, o “desespero” e a “agonia” de mais de 50 pessoas decapitadas num campo de futebol local, confirmando os rumores das execuções em massa perpetradas por grupos armados em Cabo Delgado. Na semana passada, vários órgãos de comunicação moçambicanos e internacionais, relataram o sequestro de 50 pessoas que depois foram decapitadas num campo de futebol, que se transformou em átrio de execuções, na aldeia de Muatide. As decapitações, que terão sido realizadas entre os dias 6 a 8 de novembro, foram desmentidas poucos dias depois pelo governador de Cabo Delgado, Valige Tauabo, mas condenadas “veementemente” pelo secretário-geral da Organização das Nações Unidas (ONU), António Guterres, que instou as autoridades a conduzirem uma investigação. “As pessoas estão a morrer”, disse à V
Read more »
-
O passo a passo ao maximo do prazer sexual Em 15 dias, é possível perceber resultados e, em oito meses, dominar a técnica”, afirma a professora Regina Racco. Vale reforçar que o desenvolvimento varia de mulher para mulher e de acordo com o treino. 1. Autoconhecimento Primeiro, você deve conhecer o próprio corpo. Para isso, explore a região genital usando um espelhinho. Comece massageando a vagina com movimentos suaves e amplos. Não há um roteiro específico a seguir: o objetivo é que você se sinta à vontade e tenha total domínio sobre a região. Quando se sentir bem, passe a contrair e a relaxar a vagina, observando os movimentos no espelho. 2. Músculo no alvo Está com dificuldade para perceber como deve concentrar a força para contrair a vagina? Um exercício fácil pode ajudá-la: ao fazer xixi, interrompa o jato e conte até dez. Descobriu qual é o músculo a ser trabalhado? Então, agora que já sabe, não repita mais o exercício para não afetar o bom funcionamento da bexiga
Read more »

Camarada Nelinho – o protegido!

-
Por Edwin Hounnou A peça teatral ensaiada pelo empresário Manuel Rodrigues Ramissane, mais conhecido por Nelinho que foi presidente da Assembleia Provincial na legislatura passada, deputado da Assembleia da República pela Frelimo -, no dia 05 deste Junho, sexta-feira por volta das 19.30 horas, na Beira, de tentar implicar os jornalistas Arsênio Sebastião, correspondente da Voz da Alemanha (DW) e de Jorge Malangaze, freelance, no crime de corrupção passiva, é repugnante e ridícula. A lógica manda dizer que não pode haver agente passivo sem o activo. Quem é o agente activo e porquê não foi, também, detido? Os dois jornalistas foram alertados de que, no complexo Monte Verde estava a decorrer uma festa com um pouco mais 100 pessoas. Eles lá se fizeram ao local. Viram que era uma festa que só podia fazer recordar outros tempos. A realização dessa festa violava o decreto presidencial que proíbe festas e outros grandes aglomerados de indivíduos, seja em que circunstancias forem, devido
Read more »