Dois aplicativos da gigante chinesa Baidu podem ter vazado milhões de dados de seus usuários. De acordo com a Unit 42, uma unidade de pesquisas da empresa de segurança Palo Alto Networks, foram expostos modelos de telefones, endereços MAC, informações de operadoras e ainda o número do International Mobile Subscriber Identity (IMSI, na sigla em inglês), que permite o rastreamento do smartphone. O vazamento deixa os usuários ainda mais vulneráveis a ataques cibernéticos.
Os responsáveis pelos dados expostos são os apps Baidu Maps e Baidu App (Search Box). A partir deles, foi encontrado um código de coleta de informações no Baidu Push SDK, que mostra notificações dos sistemas em tempo real. Em uma investigação mais profunda, segundo a Forbes, foi revelado que o Push enviava dados para um servidor chinês.
Alguns dos dados vazados não apresentam grande risco em termos de segurança e privacidade, mas o real problema está centralizado na exposição do IMSI. O cadastro permite que um usuário seja identificado e rastreado de forma exclusiva, mesmo que ele troque seu número de telefone por meio de outro cartão SIM.
Baidu Search Box foi um dos responsáveis pelo vazamento de dados revelado pela Unit 42. Créditos: Pavel Kapysh/Shutterstock
“Os aplicativos Android que coletam dados, como o IMSI, são capazes de rastrear usuários durante a vida útil de vários dispositivos. Por exemplo, se um usuário trocar seu cartão SIM por um novo telefone e instalar um aplicativo que coletou e transmitiu anteriormente o número IMSI, o desenvolvedor do aplicativo será capaz de identificar esse usuário de forma exclusiva”, destacam os pesquisadores da Unit 42.
A exposição do International Mobile Equipment Identity (Imei, na sigla em inglês) também pode causar problemas. Como exemplo, se um invasor obtém o número do Imei de um usuário, ele pode forjar um roubo e fazer com que o provedor desative o dispositivo e bloqueie seu acesso à rede.
Na conclusão do artigo que relatou a descoberta da empresa, os pesquisadores da Unit 42 escreveram que “o vazamento de dados de aplicativos Android e SDKs representa uma séria violação da privacidade dos usuários. A detecção de tal comportamento é vital para proteger os direitos de privacidade dos usuários móveis”.
Baidu na Play Store
Não é a primeira vez que a Baidu tem seu nome envolvido em polêmicas. Nos mês passado, a empresa retirou o Baidu Maps e Baidu App da loja de aplicativos da Google por conta de problemas de privacidade nos softwares. Embora o Search Box tenha recebido atualizações e reaparecido na plataforma, o Baidu Maps, por enquanto, permanece indisponível.
With the help of an ML-powered spyware detection system, we identified multiple Android applications on Google Play that were leaking sensitive user data. https://t.co/YXmgvTNYuP pic.twitter.com/2e3T9mmZpV
— Unit 42 (@Unit42_Intel) November 24, 2020
Ao site CNet, a gigante chinesa destacou que a retirada das aplicações da Play Store não foi resultado da constatação do vazamento de dados, apesar desta ter gerado investigação, visto que ela possui autorização de seus usuários para a coleta de informações.
Cabe destacar que, nos Estados Unidos, os dois apps da Baidu são muito populares, somando quase seis milhões de usuários apenas no país norte-americano.
Via: Unit 42