Datenlecks bei in der Cloud gespeicherten Android- und iOS-Apps

Vazamentos de dados encontrados em aplicativos Android e iOS armazenados na nuvem

Se já houve uma época atraente para não confiar seus dados a desenvolvedores de aplicativos de terceiros, é esta. Uma empresa de segurança móvel encontrou vazamentos de dados de milhares de aplicativos Android e iOS de terceiros por meio do armazenamento em nuvem.

Vazamentos de dados descobertos

Seria ótimo dizer que esta é uma notícia impressionante, mas não é. Não é tão surpreendente que os dados do usuário tenham vazado enquanto usuários móveis desavisados ​​continuavam a configurar suas muitas contas.

Tudo se resume ao manuseio incorreto dos dados. Não parece ser notório – foi apenas descuido. Em vez de armazenar dados em seus próprios servidores, os desenvolvedores de aplicativos móveis de terceiros armazenaram descuidadamente os dados do usuário na nuvem e mais ou menos deixaram a porta aberta.

O termo de segurança móvel Zimperium executou uma análise automatizada em 1,3 milhão de aplicativos Android e iOS, verificando se há configurações incorretas no armazenamento de dados. 84.000 aplicativos Android e quase 47.000 aplicativos iOS foram encontrados usando um serviço de nuvem pública para armazenar dados do usuário. Serviços como Amazon Web Services, Google Cloud e Microsoft Azure foram usados. Desses aplicativos que usam armazenamento em nuvem, 14% expuseram informações pessoais dos usuários, que incluíam senhas e até informações médicas.

“É uma tendência preocupante”, disse Shridhar Mittal, CEO da Zimperium. “Muitos desses aplicativos têm armazenamento em nuvem que não foi configurado corretamente pelo desenvolvedor ou por quem configurou as coisas e, por causa disso, os dados são visíveis para quase qualquer pessoa. E a maioria de nós tem alguns desses aplicativos agora. ”

O pior é que os pesquisadores entraram em contato com alguns dos desenvolvedores e tiveram muito pouca resposta – e muitos dos aplicativos ainda têm dados expostos.

Vazamentos de dados descobertos na App Store

Potencialmente, os vazamentos de dados incluem muitas informações pessoais dos usuários. Alguns dos aplicativos tinham alguns milhares de usuários, enquanto outros tinham alguns milhões. Os dados financeiros de uma carteira móvel pertencente a uma empresa Fortune 500 estão entre os dados expostos. O mesmo acontece com os dados de transporte de uma grande cidade e os dados de teste de aplicativos médicos,

O Zimperium não tentou verificar se os invasores encontraram os dados expostos, mas os malfeitores certamente seriam capazes de usar os mesmos métodos públicos que os pesquisadores usaram para acessar as informações. E eles não seriam apenas capazes de visualizar os dados expostos. Algumas das configurações incorretas permitiriam que os invasores alterassem ou substituíssem os dados.

Quem é o responsável por esta bagunça?

Os provedores de nuvem tentam observar as configurações incorretas, mas isso é realmente para os desenvolvedores verificar este armazenamento e certificar-se de que está funcionando como pretendido.

Vazamentos de dados descobertos no Android

Faz sentido que a configuração incorreta seja um problema generalizado ”, disse o pesquisador de segurança Will Stafrach. “Eu vi baldes da AWS com permissões ruins, e também vi vários nós VPN expondo dados. Já vi muitos aplicativos de empresas que deveriam conhecer melhor que têm problemas de segurança terríveis. ”

Zimperium também trabalha na App Defense Alliance Initiative do Google para verificar aplicativos na Play Store. A diferença com esse trabalho é que eles procuram atividades maliciosas em vez de vazamentos acidentais de dados da exposição à nuvem.

A Mittal espera, depois de tudo isso, aumentar a conscientização sobre essa situação.

Se você está preocupado com o vazamento de seu e-mail e senha, continue lendo para saber como monitorá-lo.