O grupo de pesquisa CyberNews relatou que 14 dos principais aplicativos Android vazaram dados do usuário como resultado de uma configuração incorreta do Firebase. Esses aplicativos foram baixados cerca de 140 milhões de vezes, e os dados expostos podem incluir nomes de usuário e senhas, endereços de e-mail, registros financeiros e nomes reais do usuário, entre outros detalhes.
Os aplicativos Android afetados foram baixados 140m vezes
O Firebase é uma ferramenta usada por desenvolvedores para criar aplicativos e navegar por análises, e vem com alguns outros recursos pertinentes – como hospedagem e armazenamento em nuvem em tempo real. Os aspirantes a desenvolvedores podem usar a plataforma para armazenar informações relacionadas a seus aplicativos na nuvem; dados, credenciais, tokens e muito mais.
Os quatorze aplicativos destacados pelo relatório CyberNews foram afetados pela configuração incorreta do Firebase. Dessa forma, seus bancos de dados em tempo real não eram protegidos e qualquer pessoa com a URL correta tinha acesso a eles sem qualquer tipo de autenticação. Essencialmente, os malfeitores e bisbilhoteiros tinham um convite aberto para vasculhar as informações do usuário à vontade.
O escopo do vazamento da Google Play Store também é surpreendente – todos os tipos de aplicativos foram afetados, e alguns até tiveram seu propósito inicial anulado ou subvertido. Uma ferramenta de Horóscopo com 500.000 usuários, por exemplo, mensagens privadas expostas e detalhes, e um rastreador de localização projetado para manter o controle de seus filhos estava realmente transmitindo dados em tempo real – uma noção aterrorizante! Qualquer pessoa que usa esses aplicativos pode ter seus dados mais privados expostos a qualquer agente mal-intencionado com acesso ao banco de dados do aplicativo. Como tal, é provável que os vazamentos tenham consequências de longo alcance.
Para as vítimas, seus dados podem ser usados por malfeitores em campanhas oportunistas de phishing
Para as vítimas, seus dados podem ser usados por malfeitores em campanhas oportunistas de phishing. Os cibercriminosos costumam criar e-mails de engenharia social ou mensagens instantâneas na tentativa de enganar as vítimas, e essas comunicações podem ser ainda mais convincentes se os criminosos em questão estiverem armados com detalhes coletados de vazamentos – como o incidente do Google Play.
Um problema contínuo
A CyberNews entrou em contato com o Google a respeito da violação desastrosa e não recebeu nada em resposta. Isso não é totalmente surpreendente, mas é desanimador – assim como o fato de que nove dos quatorze aplicativos afetados ainda estão vazando dados!
O que também é preocupante é que, como o Firebase é uma plataforma cruzada, os aplicativos iOS que utilizam a ferramenta também podem estar sofrendo de configuração incorreta semelhante.
Infelizmente, há pouco que os próprios usuários possam fazer. Os desenvolvedores de aplicativos obstruíram o vazamento de seus bancos de dados depois que a CyberNews os alertou sobre o problema, embora esse tipo de ação retrospectiva não vá eliminá-lo no longo prazo. Os desenvolvedores precisam ser proativos durante o processo de codificação de seus projetos e garantir que a privacidade e a segurança sejam priorizadas desde o primeiro dia, com controles e processos adequados, e atenção especial para configurar corretamente os bancos de dados que protegem os dados do usuário.
Muitas vezes, no entanto, essas considerações de segurança são negligenciadas em favor da aceleração do processo de desenvolvimento.
É chocante pensar que a privacidade de milhões de usuários do Android foi colocada em risco por causa do potencial de cortar alguns cantos – é uma atitude em relação à segurança digital que é tão perigosa quanto ingênua. Infelizmente, não é a primeira vez que a App Store foi prejudicada por serviços de terceiros mal configurados e controles sem brilho.
Em maio de 2021, a empresa de segurança cibernética Check Point Research relatou que 23 aplicativos Android estavam vazando dados confidenciais, como senhas, imagens e logs de bate-papo. Mais de 100 milhões de usuários foram potencialmente afetados e eles, assim como as vítimas de hoje, podiam fazer pouco mais do que esperar que os desenvolvedores fechassem os vazamentos … e comecem a levar a segurança do consumidor a sério.
