Segurança e proteção dos dados têm sido as palavras de ordem dos últimos anos. Em causa estão fugas de dados que têm vindo a aumentar. A mais recente surgiu agora e afeta tanto o Android como o iOS. São dados sensíveis de provavelmente milhões de utilizadores que estão acessíveis na Internet.
Os criadores dos sistemas operativos e das aplicações têm de cumprir de forma escrupulosa os pressupostos de segurança. Mas não tem sido essa a prática.
Fuga de dados no Android e iOS
Uma avaliação recente da empresa de segurança Zimperium revelou uma realidade muito crítica no universo das apps móveis. Ao analisarem mais de 1,3 milhões de apps, ficou claro que 130 mil assentam as suas estruturas em serviços cloud, da Amazon, Google ou Microsoft.
Este não seria um problema se não existissem situações anormais e graves em 20 mil dessas apps. A descoberta revelou que estes serviços cloud onde assentam estão a deixar escapar dados dos utilizadores, fruto de configurações mal feitas pelas empresas que criaram as apps.
Thousands of Android and iOS Apps Leak Data From the Cloud. Our research shows apps are using unsecured cloud configuration, exposing users' personal info, passwords, and even medical info. https://t.co/nO6aHlCPi0 #AppSecurity #mobileapp #mobileappsecurity #cloud
— ZIMPERIUM (@ZIMPERIUM) March 4, 2021
Configuração na Cloud é o problema
Apesar de não revelarem quais os dados em concreto, mostraram que vão de elementos tão simples até a informação sensível e confidencial. Aqui temos dados como o email até a registos médicos completos, dados bancários e até fotografias e passwords.
Para além dos dados dos utilizadores do Android e do iOS, a equipa da Zimperium foi mais além e descobriu informações das próprias empresas. Falamos de configurações que estavam presentes na Cloud e que qualquer um poderia facilmente aceder, mesmo qualquer atacante mal-intencionado.
Percentagem de aplicações afetadas por categoria.
Problemas continuam nas apps
Como é normal nestas situações, os criadores das apps foram contactados e os problemas reportados. Mais uma vez aqui as situações anormais e preocupantes surgiram. Poucas empresas reconheceram o problema ou comprometeram-se a resolver os problemas. A grande maioria manteve as situações por tratar.
A lista de apps vulneráveis não foi ainda revelada, mas deverá ser simples a qualquer “pessoa mal intencionada” realizar o mesmo processo de avaliação das apps e descobrir as falhas. Dai em diante será naturalmente simples recolher as informações e usá-las em fins menos legais.