Imagem: SynthEx/Shutterstock.com

Mais de 2 mil aplicativos móveis estão com banco de dados desprotegidos e estão expondo informações confidenciais, de acordo com uma pesquisa de três meses da Check Point Research. A descoberta veio após uma pesquisa no serviço VirusTotal, uma subsidiária do Google que oferece uma ferramenta online gratuita que verifica arquivos e URLs para detectar vírus e malwares.

Aplicativos de um smartphone Android

Foto: Pathum Danthanarayana/Unsplash

Os 2.113 aplicativos listados pela CPR variam entre pouco e muito populares, com 10 mil a 10 milhões de downloads. De acordo com os pesquisadores, 50 mil mensagens de chat privadas de aplicativos de relacionamento, fotos pessoais, 10 milhões de credenciais de gateway de API e chave de API em um aplicativo de loja de departamentos — uma das maiores redes da América do Sul —, tokens de IDs de um aplicativo de saúde, credenciais de plataformas de criptomoedas, entre outras, estavam expostas.

Além das falhas, a CPR alerta para a facilidade em localizar o conjunto de dados e recursos críticos de aplicativos apenas consultando repositórios públicos.

Sem configuração adequada

Plataformas de nuvem se tornaram praticamente um padrão em desenvolvimento de apps. Ao mesmo tempo que muitos profissionais aplicam recursos para dar mais segurança aos dados, há também aqueles que podem negligenciar a configuração adequada desse banco de dados hospedado na nuvem. Além de exposição de dados desses usuários em tempo real, isso vai aumentar as chances de violação se explorada.

A possibilidade de encontrar essas falhas humanas são grandes, já que os próprios desenvolvedores alteram manualmente as configurações padrão (bloqueadas e protegidas) para executar testes. Caso ela permaneça assim antes de ser produzido, o banco de dados ficará aberto e suscetível à leitura e gravação.

Como acessar os bancos de dados expostos

  1. Procurar aplicativos móveis que se comunicam com serviços em nuvem no VirusTotal.
  2. Arquivar aqueles que têm acesso direto aos dados.
  3. Navegar no link recebido.

 

Com informações de Convergência Digital

Comentários

0

Please give us your valuable comment

O seu endereço de e-mail não será publicado.