Os dados de mais de 100 milhões de usuários do Android podem ser expostos a hackers devido a uma falha na forma como os dispositivos lidam com a segurança na nuvem, de acordo com um relatório divulgado na quinta-feira.
A empresa de segurança cibernética Check Point Research afirmou no estudo que pelo menos 23 aplicativos móveis populares contêm "configurações incorretas" de serviços de nuvem de terceiros. A empresa disse que os desenvolvedores de alguns dos aplicativos não verificaram se as medidas de segurança projetadas para evitar violações de dados estavam em vigor ao sincronizar com serviços em nuvem.
"Ao não seguir as práticas recomendadas ao configurar e integrar serviços de nuvem de terceiros em aplicativos, milhões de dados privados de usuários foram expostos", escreveram os pesquisadores.
"Em alguns casos, esse tipo de uso indevido afeta apenas os usuários, no entanto, os desenvolvedores também ficaram vulneráveis. A configuração incorreta coloca em risco os dados dos usuários e os recursos internos do desenvolvedor, como acesso a mecanismos de atualização e armazenamento."
Os pesquisadores examinaram 23 aplicativos Android, incluindo um aplicativo de táxi, criador de logotipo, gravador de tela, serviço de fax e software de astrologia, e descobriram que eles vazavam dados, incluindo registros de e-mail, mensagens de bate-papo, informações de localização, IDs de usuários, senhas e imagens.
Especialistas em cibersegurança dizem que os desenvolvedores deveriam estar cientes das vulnerabilidades.
"Os desenvolvedores tendem a pensar que os back-ends móveis estão escondidos dos hackers", disse Ray Kelly, engenheiro de segurança principal da empresa de segurança cibernética WhiteHat Security, em uma entrevista por e-mail.
"Os mecanismos de pesquisa, como o Google, não indexam essas APIs, o que dá uma falsa sensação de segurança quando, na verdade, esses endpoints móveis podem ser tão vulneráveis quanto qualquer outro site."
Ao não seguir as práticas recomendadas ao configurar e integrar serviços de nuvem de terceiros em aplicativos, milhões de dados privados de usuários foram expostos.
Os desenvolvedores estão sob pressão para incorporar rapidamente novos recursos em seu software, disse Stephen Banda, gerente sênior da empresa de segurança cibernética Lookout, em uma entrevista por e-mail.
"Para implantar o código rapidamente, as organizações contam com processos automatizados de entrega de software para atualizar a funcionalidade, aplicar patches de segurança para manter os aplicativos em nuvem atualizados", acrescentou.
"Movimentar nessa velocidade, mesmo com boas práticas de gerenciamento de mudanças e segurança em vigor, significa que todas as organizações correm o risco de introduzir configurações incorretas em seus aplicativos de nuvem."
