A Avast encontrou mais de 19.300 aplicativos de Android que expõem publicamente os dados dos usuários, devido a uma configuração incorreta do banco de dados do Firebase – uma ferramenta para Android que os desenvolvedores podem usar com o intuito de armazenar dados dos usuários. Isso afeta uma ampla gama de diferentes aplicativos, incluindo de estilo de vida, fitness, jogos, apps de delivery de comida e de correio em regiões do mundo todo, incluindo a Europa, o Sudeste Asiático e a América Latina.
Os dados expostos podem incluir informações de identificação pessoal (PII, Personally Identifiable Information) coletadas pelos aplicativos, como nomes, endereços, dados de localização e, em alguns casos, até mesmo senhas. A Avast notificou o Google sobre as suas descobertas, para que os desenvolvedores de apps fossem informados quanto à necessidade de tomarem medidas corretivas.
Os desenvolvedores podem usar o Firebase para facilitar o desenvolvimento de aplicativos para dispositivos móveis e para web, voltados para plataformas de dispositivos móveis Android. Eles podem ainda manter a implementação do Firebase visível para outros desenvolvedores, então, tecnicamente, pode ser visível ao público. Quando os pesquisadores dos Laboratórios da Avast analisaram 180.300 instâncias do Firebase publicamente disponíveis, eles descobriram que mais de 10% (19.300) estavam abertas, expondo os dados a desenvolvedores não autenticados. Elas foram abertas devido às configurações incorretas por desenvolvedores de apps.
Essas instâncias abertas colocam os dados armazenados e usados pelos aplicativos desenvolvidos com o Firebase em risco de roubo. Os dados que esses aplicativos armazenam podem incluir uma variedade de informações, como dados de identificação pessoal (PII), incluindo nomes, datas de nascimento, endereços, números de telefones, informações de localização, tokens de serviços e chaves, entre outras informações que podem ser expostas por isso. Quando os desenvolvedores usam práticas de segurança inadequadas, os registros podem até conter senhas em texto simples.
"Cada uma dessas instâncias abertas é um evento de violação de dados esperando para acontecer e pode gerar riscos aos negócios, jurídicos e regulatórios críticos se ocorrerem. Potencialmente, as informações pessoais de mais de 10% dos usuários de aplicativos baseados no Firebase podem estar em risco", explica Vladimir Martyanov, Pesquisador de Malware da Avast. "Hoje, qualquer empresa tem um aplicativo – lojas, academias, serviço de correios ou até mesmo apps ambientais e de doação, desenvolvidos para conveniência dos usuários e, muitas vezes, com boas finalidades em mente. Mesmo assim, as empresas devem insistir no desenvolvimento responsável de seus apps, tornando a segurança e a privacidade uma parte fundamental de todo o processo de desenvolvimento dos aplicativos, não apenas como um complemento posterior".
A Avast recomenda que os desenvolvedores se mantenham informados sobre o potencial risco de bancos de dados configurados incorretamente e sigam as melhores práticas fornecidas pelo Google.
"Pedimos a todos os desenvolvedores que verifiquem os seus bancos de dados e outros tipos de armazenamento em busca de possíveis configurações incorretas, para proteger os dados dos usuários e tornar o nosso mundo digital mais seguro", diz Vladimir Martyanov.
Para obter mais informações acesse Avast Decoded.