06 Outubro 2014
Instagram, Grindr, OkCupid, e muitas outras aplicações disponíveis para o sistema Android não tomam precauções básicas para proteger os dados de seus usuários, colocando a sua privacidade em risco, de acordo com novo estudo da University of New Haven's Cyber Forensics Research and Education Group (UNHcFREG), localizada em Connecticut, Estados Unidos da América.
No início deste ano, uma equipe de pesquisadores da Universidade identificou e relatou falhas graves no sistema de armazenamento de dados do Viber e do WhatsApp para Android. Esta semana, o mesmo grupo informou que em um novo estudo, constataram falhas ainda mais graves em relação a mensageiros e aplicativos sociais presentes na loja do Google. Segundo eles, mais de 1 bilhão de clientes estão em risco.
Ibrahim Baggili, diretor do jornal forense que circula pela Universidade, informou que estas vulnerabilidades ocorrem com o sistema e seus aplicativos porque os desenvolvedores são desleixados. Ainda de acordo com ele, a pressa de lançar determinado aplicativo prejudica a sua qualidade.
Para o estudo, aplicativos que monitoram o tráfego de informações e o local de armazenamento das mesmas foram utilizados. Segundo o relatório de pesquisa, o Wireshark e o NetworkMiner foram as principais ferramentas de monitoria. No final dos testes, foi possível ter acesso aos dados do Instagram, ooVoo, Tango, TextPlus, MessageMe, Grindr e HeyWire. No caso do Tango, por exemplo, foi possível ver as mídias compartilhadas entre usuários mesmo as informações estando supostamente criptografadas. Na verdade, é essencial que as informações sejam apagadas dos servidores da empresa assim que o usuário receba o conteúdo em questão, mas parece que isso não está ocorrendo com estes aplicativos.
ooVoo, Kik, Nimbuzz e MeetMe também não criptografam seus dados. De acordo com o estudo, até mesmo o chat é acessível através de dispositivos operados por conhecedores dos métodos de invasão sistêmica.
Uma forma eficaz de proteger os seus clientes é pondo em prática os protocolos existentes de segurança. Utilizar encriptação SSL/TLS ajuda a garantir a segurança dos dados do cliente. "Isso deveria ser uma prática obrigatória", afirmam os pesquisadores.
No vídeo acima é possível vermos como os dados são capturados facilmente pelos executores dos testes. Segundo eles, um e-mail com o vídeo foi enviado para cada um dos desenvolvedores responsáveis pelos aplicativos inseguros, mas nenhum deles respondeu.
Comentários