Dados pessoais de 100 milhões de utilizadores expostos por apps disponíveis na Google Play Store

-

 


Utilização indevida de serviços cloud de terceiros pelos programadores das aplicações deixava milhões de dados pessoais expostos a vulnerabilidades

 

20 de maio de 2021, Maputo, Moçambique Investigação da Check Point Research (CPR), área de Threat Intelligence da  Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, revela que mais de 100 milhões de utilizadores tiveram os seus dados expostos por programadores de aplicações móveis.

 

Depois de examinar 23 aplicações móveis para Android disponíveis na Google Play Store, a CPR viu inúmeros programadores de aplicações a utilizarem indevidamente serviços cloud de terceiros, tais como bases de dados em tempo real, gestores de notificações e armazenamento cloud. A utilização indevida resultou na exposição de dados não só dos próprios programadores, como dos utilizadores das apps. Entre as informações expostas incluíam-se e-mails, mensagens de chat, localização, palavras-passe, fotografias, entre outros.

 

Má configuração de bases de dados em tempo-real

Uma base de dados em tempo-real está em constante funcionamento e atualização, ao contrário da informação que é, por exemplo, armazenada num disco. Os programadores de aplicações dependem de bases de dados em tempo-real para armazenar dados na cloud. A CPR conseguiu aceder com sucesso a informações sensíveis de bases de dados em tempo-real de 13 aplicações para Android, com 10 000 a 10 milhões de downloads. Se um agente malicioso obtivesse acesso aos mesmos dados extraídos pela CPR, poderia levar a cabo uma série de ataques, como fraude, roubo de identidade ou o chamado service-swipe, tática em que se procura aceder a outras plataformas com os dados obtidos para um serviço.

 

Três exemplos de aplicações vulneráveis encontradas na Google Play Store:

 

Nome da App

Descrição

Dados extraídos

Nº de Downloads

Astro Guru

App de astrologia, horóscopo e leitura de mãos

Nome, data de nascimento, género, localização, e-mail e detalhes de pagamento

10 milhões

T’Leva

App de táxis

Registo de mensagens entre condutores e passageiros, bem como os nomes completos dos utilizadores, números de telefone e as localizações de viagem (de partida e destino)

50,000

Logo Maker

Design gráfico grátis e templates de logotipos

E-mail, palavra-passe, nome de utilizador, ID de utilizador

10 milhões

 

Chaves de serviços de notificações push integradas nas apps

Os programadores precisam de enviar notificações push para interagir com os utilizadores. A maioria dos serviços de notificações push requer uma chave para reconhecer a identidade do remetente do pedido. A CPR encontrou estas chaves incorporadas em várias aplicações. Apesar das informações dos serviços de notificações push não serem sempre sensíveis, a possibilidade de enviar notificações em nome do programador é mais do que suficiente para atrair agentes maliciosos.

 

Chaves de armazenamento Cloud integradas nas apps

O armazenamento Cloud em aplicações móveis é uma solução simples para aceder a ficheiros partilhados tanto pelo programador, como pela aplicação instalada. A CPR encontrou aplicações na Google Play cujas chaves de encriptação da Cloud foram expostas. Abaixo, dois exemplos:

 

Nome da App

Descrição

Dados extraídos

Nº de Downloads

Screen Recorder 

Utilizada para gravar o ecrã do dispositivo e guardar as gravações num serviço Cloud

Acesso às gravações guardadas

+ de 10 milhões

iFax

Envia e recebe faxes através do telefone gratuitamente

Transmissões de fax armazenadas

500,000

 

A maioria das apps que analisámos ainda estão a expor dados neste momento. Em última análise, as vítimas tornam-se especialmente vulneráveis a roubos de identidade, phishing e vários outros vetores de ataque. A última investigação da Check Point revela uma realidade preocupante, onde os programadores das aplicações colocam em risco não só os seus dados, mas os dos próprios utilizadores,” começa por dizer Aviran Hazum, Manager of Mobile Research da Check Point Software. Por não terem seguido as melhores práticas aquando da configuração e integração de serviços cloud terceiros nas suas aplicações, dezenas de milhões de dados de utilizadores privados foram expostos. Esperamos que a nossa investigação incentive a comunidade de programadores a ser extra cuidadosa com a forma como usam e configuram este tipo de serviços. Para resolver o problema, os programadores têm agora de passar a limpo as suas aplicações à procura das vulnerabilidades de que demos a conhecer.”

 

A CPR contactou a Google e cada um dos programadores responsáveis pelas aplicações antes da divulgação da presente investigação e uma das aplicações alterou as suas configurações. Para mitigar os riscos descritos, a CPR recomenda a instalação de uma solução móvel de defesa que consiga detetar e responder a uma variedade de ataques diferentes, fornecendo, ao mesmo tempo, uma experiência de utilização simples e acessível.

-FIM-

Siga a Check Point Research via:  

Blog: https://research.checkpoint.com/

Twitter: https://twitter.com/_cpresearch_

 

Siga a Check Point via:  
Twitter: https://www.twitter.com/checkpointsw

Facebook: https://www.facebook.com/checkpointsoftware

Blog: https://blog.checkpoint.com

YouTube: https://www.youtube.com/user/CPGlobal

LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

Sobre a Check Point Research   

A Check Point Research disponibiliza informação sobre ciberameaças aos clientes da Check Point Software e à vasta comunidade de cibersegurança. A equipa de investigação colige e analisa dados de ciberataques a nível global captados na ThreatCloud para manter os hackers sob vigilância, enquanto assegura que todas as soluções da Check Point se encontram atualizadas com as mais recentes proteções. A equipa de pesquisa conta com mais de 100 analistas e investigadores que cooperam com outros fabricantes de segurança, entidades legais e diversos CERTs.  

 

Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. (www.checkpoint.com) é um fornecedor líder em soluções de ciberseguraça para governos e empresas a nível mundial. O portfolio Infinity de soluções da Check Point protege empresas e organizações públicas de ciberataques de 5ª geração com um índice de captura de malware, ransomware e outros tipos de ataques líder no mercado. O Infinity é composto por três pilares principais, que proporcionam segurança total e prevenção contra ameaças da geração V em ambientes corporativos: a Check Point Harmony para utilizadores remotos; a Check Point CloudGuard para proteger automaticamente os ambientes cloud; e o Check Point Quantum, para proteger perímetros de rede e centros de dados, controlados na íntegra pelo mais amplo e intuitivo sistema de gestão de segurança unificado. A Check Point Software protege mais de 100,000 empresas de todas as dimensões.

 

©2021 Check Point Software Technologies Ltd. Todos os direitos reservados.

 

Do It On 

Fernando Batista 

Email: fernando.batista@doiton.agency  

 

Carolina Esteves

Email: carolina.esteves@doiton.agency

Comentários

Enviar um comentário

Mensagens populares deste blogue

Dívidas ocultas: Primeiro contacto foi com agente secreto sul-africano

-
Afinal, terá sido uma agente secreta sul-africana quem apresentou Jean Boustani aos moçambicanos. A revelação foi feita ontem na primeira pessoa pelo próprio executivo libanês da Privinvest, quem afirmou que além de Moçambique, a companhia de produção de barcos propôs projectos de protecção costeira e desenvolvimento de economia azul a Namíbia, Quênia, Tanzânia e Nigéria. Basetsana Thokoane terá sido quem propôs a Jean Boustani que buscasse oportunidades de investimento em Moçambique devido a descoberta de recursos naturais. Segundo revelou o libanês no Tribunal Federal Distrital de Brooklyn, nos Estados Unidos, a suposta agente secreta disse que conhecia pessoas seniores em Moçambique e que poderia ajudar a fazer corredores para implementação. A rede terá sido assim: Basetsana Thokoane conhecia Rosário Mutota, antigo agente do Serviço de Informação e Segurança do Estado e "parceiro de negócios" de Teófilo Nhangumele. Em 2011, Jean Boustani viaja para Moçambique onde na c
Read more »

30 years of brutal silence of Germany on slavery of Mozambicans

-
Around 20 thousand Mozambicans were exploited in Germany from 1979 and 1989 under false pretence of training  of Mozambican labour force. Germany Democratic Republic and People Republic of Mozambique signed an agreement on 24 February of 1979  to send young Mozambicans to work in Germany companies. What was known  was the young Mozambicans were going to be trained in several skills  that later would be implemented in socialist companies to be established in Mozambique. Now, lapsed 30 years after the end of the agreement, it was revealed behind that was a debit between the countries of around 300 millions of USD to quit by the revenue of the Mozambicans, in a type of modern slavery. The Mozambicans were forced to discount, during stay in Germany, 60% of their salaries under the promise that they would be paid when they are back to Mozambique, and that never happened. The agreement and amendments that ruled the matter are sealed with 7 keys in both countries. A representative gro
Read more »

Sobreviventes do massacre descrevem “execuções agoniantes” em campo de futebol de Muidumbe

-
  Decapitações, que terão sido realizadas entre os dias 6 a 8 de novembro, tinham sido desmentidas pelo governador de Cabo Delgado Sobreviventes do massacre de Muidumbe relataram à VOA nesta segunda-feira, 16, o “desespero” e a “agonia” de mais de 50 pessoas decapitadas num campo de futebol local, confirmando os rumores das execuções em massa perpetradas por grupos armados em Cabo Delgado. Na semana passada, vários órgãos de comunicação moçambicanos e internacionais, relataram o sequestro de 50 pessoas que depois foram decapitadas num campo de futebol, que se transformou em átrio de execuções, na aldeia de Muatide. As decapitações, que terão sido realizadas entre os dias 6 a 8 de novembro, foram desmentidas poucos dias depois pelo governador de Cabo Delgado, Valige Tauabo, mas condenadas “veementemente” pelo secretário-geral da Organização das Nações Unidas (ONU), António Guterres, que instou as autoridades a conduzirem uma investigação. “As pessoas estão a morrer”, disse à V
Read more »