Buscar
  • KSecurity

Falhas em autenticação na nuvem expõe dados de milhões de usuários de aplicativos

Nem só aplicativos maliciosos são o único problema de segurança em nossos aparelhos. A configuração incorreta também pode nos colocar em risco


Foto: Reprodução/Unsplash


Segundo um relatório publicado pela Check Point Research, a empresa de segurança cibernética, os pesquisadores analisaram 23 aplicativos Andrioid e descobriram graves configurações incorretas na nuvem, o que leva a exposição potencial de dados de mais de 100 milhões de usuários.


Os serviços em nuvem são amplamente usados ​​por aplicativos e serviços online hoje, talvez ainda mais devido à rápida mudança para o trabalho remoto causado pela pandemia do coronavírus. Embora seja muito útil no gerenciamento, armazenamento e processamento de dados, é necessário apenas um acesso ou supervisão de autorização para expor ou vazar os registros mantidos.


Os aplicativos, em particular, muitas vezes se integram a bancos de dados em tempo real para armazenar e sincronizar dados em diferentes plataformas. No entanto, os desenvolvedores de alguns dos aplicativos examinados não conseguiram garantir que os mecanismos de autenticação existissem.


De acordo com o CPR, os 23 aplicativos Android examinados - incluindo um aplicativo de táxi, fabricante de logotipo, gravador de tela, serviço de fax e software de astrologia - vazaram dados, incluindo registros de e-mail, mensagens de bate-papo, informações de localização, IDs de usuário, senhas e imagens.


Em 13 casos, dados confidenciais estavam disponíveis publicamente em configurações de nuvem não seguras. Esses aplicativos foram responsáveis ​​por entre 10.000 e 10 milhões de downloads cada.


Ao investigar o aplicativo do serviço de táxi, por exemplo, a equipe conseguiu enviar uma solicitação simples ao banco de dados do aplicativo e obter mensagens enviadas entre motoristas e clientes, nomes, números de telefone e locais de coleta e entrega.


Os serviços de nuvem que fornecem gerenciamento de dados de back-end para o gravador de tela e aplicativos de fax também não eram protegidos de forma adequada. O CPR foi capaz de recuperar as chaves para conceder acesso às gravações armazenadas e documentos de fax, analisando os arquivos dos aplicativos.


Chaves de notificação push também foram encontradas nos aplicativos, deixadas abertas ao abuso. Se os serviços push forem explorados, eles podem ser usados ​​para enviar alertas maliciosos aos usuários do aplicativo.


Os pesquisadores dizem que essas falhas de segurança se devem ao fato de os desenvolvedores não seguirem "as melhores práticas ao configurar e integrar serviços em nuvem de terceiros em seus aplicativos".


"Essa configuração incorreta dos bancos de dados em tempo real não é nova, mas [...] o escopo do problema ainda é muito amplo e afeta milhões de usuários", diz CPR. "Se um agente malicioso obtiver acesso a esses dados, isso pode resultar em roubo de serviço (tentando usar a mesma combinação de nome de usuário e senha em outros serviços), fraude e roubo de identidade."


O CPR informou os desenvolvedores de aplicativos sobre as configurações incorretas antes da divulgação e vários reforçaram seus controles.


Existem no mercado hoje soluções para que você possa gerenciar seus dados e com isso, manter a segurança da


Nossa equipe da Ksecurity, é especialista em segurança da informação e está pronta para ajudar a encontrar a melhor solução para seu negócio, deixando seus dados em segurança.

Converse agora com um de nossos consultores e descubra qual a melhor solução para sua empresa: comercial@ksecurity.com.br


Fonte: ZDNet

5 visualizações0 comentário