Quase 25 mil apps Android podem estar expondo dados dos usuários

Erros de configuração comuns no serviço Firebase, um serviço do Google, estão expondo os dados de usuários de milhares de apps Android. A descoberta foi feita por analistas da Comparitech, empresa que ajuda seus usuários a comparar e avaliar serviços online.

O Google Firebase oferece aos desenvolvedores, entre outros recursos, um sistema de banco de dados onde informações necessárias ao funcionamento dos apps são armazenadas. Segundo a Comparitech, o serviço é usado por cerca de 30% de todos os apps na Google Play Store.

Destes, 4,8% tem erros de configuração que permitem a qualquer um acessar os bancos de dados contendo informações sobre os usuários, tokens de identificação e outros dados, sem necessidade de senha ou qualquer outra forma de autenticação.

Os pesquisadores da Comparitech analisaram uma amostra de 515.735 apps, o que representa 18% de todos os apps na Google Play Store. Destes, 4.282 apps estavam expondo informações. Extrapolando estes dados, eles chegaram à conclusão de que 24 mil apps, cerca de 0,83% total, são vulneráveis.

Conjuntamente, os apps vulneráveis foram instalados mais de 4,2 bilhões de vezes por usuários Android em todo o mundo. Entre os dados encontrados estão:

• Endereços de e-mail: mais de 7 milhões
• Nomes de usuário: mais de 4,4 milhões
• Senhas: mais de 1 milhão
• Números de telefone: mais de 5,3 milhões
• Nome completo: mais de 18,3 milhões
• Mensagens de bate-papo: mais de 6,8 milhões
• Dados de localização: mais de 6,2 milhões
• Endereços IP: mais de 156 mil
• Endereços de residência ou trabalho: mais de 560 mil.

Além disso, também foram encontrados números de cartão de crédito, e até mesmo fotos de documentos de identificação. Muitos dos apps analisados expunham um banco de dados com permissão de escrita, o que permitiria a um malfeitor adicionar, modificar ou excluir informações. Segundo os pesquisadores, os jogos são a categoria de app que mais expõe dados, seguida por apps educativos.

Para acessar as informações, bastava adicionar a expressão “.json” à URL do banco de dados usado pelo app (disponível analisando o código do app). Com isso, nos apps vulneráveis, o navegador retorna um arquivo com todo o conteúdo do banco de dados.

A Comparitech não divulgou uma lista de apps afetados, mas compartilhou os dados com o Google, que informou: “O Firebase oferece vários recursos que permitem que os desenvolvedores configurem suas implementações de forma segura. Notificamos os desenvolvedores sobre potenciais erros de configuração e oferecemos recomendações de como corrigí-los. Estamos entrando em contato com os desenvolvedores afetados para ajudá-los a resolver estes problemas”.

Fonte: Comparitech