As apps são o centro dos ecossistemas, tanto no Android como no iOS. Estas dão aos smartphones mais funcionalidades e mais capacidades, melhorando assim o que é oferecido de base nestas propostas.
Não se esperam que usem os dados dos utilizadores para lá das suas funções e nem sequer que deixem escapar essa informação. Infelizmente não foi isso que foi descoberto recentemente. Há um lote elevado de apps a deixar escapar informação e a maioria parece estar no iOS, embora também existam no Android.
Apps estão a revelar dados os utilizadores
Um estudo recente veio mostrar uma realidade que ninguém quer para os sistemas operativos móveis e nem para a informação que estes têm guardada. Das apps analisadas neste estudo, foram identificadas 1.859 que libertam dados. Destas, 98% são dedicadas ao iOS, e contêm credenciais da AWS codificadas que podem estar a colocar os seus dados em risco.
A informação vai mais longe e mostrou que mais de três quartos (77%) das apps continham tokens de acesso válidos da AWS, permitindo acesso a serviços privados desta cloud. Também quase metade (47%) continha tokens válidos da AWS que davam acesso total a vários, muitas vezes milhões, de arquivos privados através do Amazon Simple Storage Service (Amazon S3).
Problemas estão no iOS, mas Android é afetado
Algumas das causas para as vulnerabilidades incluem o uso sem conhecimento de bibliotecas de software externas vulneráveis e SDKs. Há ainda a entrega do desenvolvimento de apps a terceiros e a colaboração entre equipas, que podem apresentar inúmeras oportunidades de perda de informações e comunicação ineficaz.
Na análise feita foram revelados alguns exemplos bem reais. Uma empresa B2B, sem o nome revelado, que fornece uma plataforma de intranet e comunicação, disponibilizou um SDK móvel para os seus clientes, o que expôs as chaves da infraestrutura de nuvem da empresa, expondo dados como os registos financeiros e dados privados.
Tokens AWS são a causa mais comum deste problema
Há ainda várias apps para iOS de bancos, que usaram o ID digital de terceiros e o componente de autenticação das suas respetivas apps. Os utilizadores afetados deste SDK tiveram os seus dados pessoais expostos, incluindo nomes e datas de nascimento. Além disso, mais de 300.000 impressões digitais biométricas foram reveladas por cinco apps bancárias.
Esta é certamente uma situação que ninguém desejava, tanto pelos programadores como pelos utilizadores. Ainda assim, a situação é real e afeta em especial o iOS, mas também o Android. Todas as apps afetadas foram contactadas, devendo em breve ter uma resolução para o problema agora detetado e reportado.