Os usuários de smartphones são loucos pelos seus aplicativos, sejam de mídias sociais, vídeos, joguinhos ou grupos de mensagens. Mas será que eles são realmente confiáveis? Em um estudo recente realizado por pesquisadores da Technische Universität Darmstadt, na Alemanha, e do Instituto Fraunhofer SIT, com a assistência do McAfee Labs, verificou-se que milhares de aplicativos móveis com serviços de back-end baseados na nuvem têm brechas que permitem acessar registros sensíveis dos usuários. O estudo comprova que os aplicativos móveis não são tão seguros quanto nós gostaríamos de pensar que são.
O Baas (back-end as a service) é um serviço de armazenamento de banco de dados baseado em nuvem. Esses serviços fornecem aos aplicativos ferramentas como notificações push, administração de usuários e muito mais. Desenvolvedores de aplicativos móveis utilizam este serviço para criar seus aplicativos sem emenda e ao mesmo tempo minimizar a necessidade de conhecimento dos desenvolvedores em manter os servidores back-end de um aplicativo.
Ao usar o Baas, desenvolvedores integram o software em seus aplicativos e usam o serviço de back-end através de simples interfaces de programação de aplicativos, mais conhecido como APIs. O que os pesquisadores descobriram, no entanto, foi que os desenvolvedores usam APIs na chave de acesso primária nos aplicativos, o que é uma má notícia para os usuários de aplicativos, pois esta prática permite que dados sejam expostos. Usando engenharia reversa é possível facilmente extrair as credenciais necessárias para acessar bancos de dados de back-end, onde os dados dos usuários estão hospedados.
Os pesquisadores levaram seu estudo um passo adiante para ver o quão ruim este problema era. Eles testaram mais de 2 milhões de aplicativos dos sistemas Android e iOS e foram capazes de extrair 1.000 credenciais de back-end. Muitas das credenciais foram reutilizadas em vários aplicativos criados pelos mesmos desenvolvedores. A partir das credenciais de back-end, mais de 18,5 milhões de registros foram expostos.
Embora os pesquisadores não tenham feito o download dos registros, eles puderam ver que tipos de dados estavam sendo expostos. E isto incluía dados privados dos usuários como localização, aniversários, informações de contato, números de telefone, fotos, endereços de e-mail válidos, dados de compra e mensagens privadas. Dados que ninguém gostaria que criminosos tivessem acesso.
Embora o problema esteja principalmente nas mãos dos desenvolvedores, ainda existem ações que você pode fazer para ajudar a proteger os seus dados.
- Seja cauteloso quando baixar aplicativos móveis para o seu dispositivo. Sempre certifique-se de ler a política de privacidade e entender que tipo de acesso que você está permitindo ao aplicativo.
- Prefira aplicativos bem conhecidos que têm validação de segurança de terceiros.
- Não desbloqueie ou adultere o seu Android ou iPhone. Fazer isso expõe o sistema a mais ameaças e permite que hackers acessem facilmente suas informações.
Lianne Caetano, diretora de marketing global para produtos de consumer da Intel Security.
