Não é de hoje que a Google Play tem problemas com segurança, no passado ela já removeu vários aplicativos maliciosos de seu catálogo e parece que essa "novela" envolvendo falhas que expõem ou causam fraudes aos usuários está longe de encontrar um fim. Hoje, a Comparitech expôs uma mega falha envolvendo a Firebase que está vazando dados de usuários em milhares de apps do sistema Android.

Se você ainda não conhece o Firebase, ele é um armazenamento online, entre outras funções, para dados de aplicativos do Google Play. Nele estão guardadas informações essenciais para que eles funcionem, muitas delas confidenciais e sigilosas. Segundo a Comparitech ele é utilizado por 30% dos aplicativos existentes na loja.

Entretanto, dentre esses aplicativos, 4,8% dos deles têm erros de configuração na Firebase com falhas que permitem a qualquer um acessar seus dados pessoais. Não é nem preciso senha ou qualquer login para realizar o acesso.

Para chegar ao vazamento, pesquisadores analisaram amostras de 515.735 aplicativos presentes na loja. Desses, 4.282 estavam vulneráveis. Por meio desses dados, foi possível chegar à conclusão de que aproximadamente 24 mil aplicativos sofrem da mesma condição.

Embora a Comparitech não tenha compartilhado uma lista de aplicativos e jogos afetados, ela disse que a categoria que mais expôs dados foi a dos jogos, seguida logo em seguida pelos aplicativos educativos.

Como se isso não bastasse, esses aplicativos já foram instalados mais de 4,2 bilhões vezes em todo o mundo! Dentre os dados encontrados estão:

• Endereços de e-mail: mais de 7 milhões
• Nomes de usuário: mais de 4,4 milhões
• Senhas: mais de 1 milhão
• Números de telefone: mais de 5,3 milhões
• Nome completo: mais de 18,3 milhões
• Mensagens de bate-papo: mais de 6,8 milhões
• Dados de localização: mais de 6,2 milhões
• Endereços IP: mais de 156 mil
• Endereços: mais de 560 mil.

Além desses, números de cartões de crédito, imagens de documentos e muitos outros dados foram expostos, aumentando ainda mais a gravidade do problema. Outro problema é que alguns desses bancos do Firebase tinham permissão para escrita, sendo assim, um hacker poderia até mesmo alterar ou apagar os dados do usuário sem ele sequer suspeitar do ocorrido.

Para acessar tais dados, somente era preciso analisar o código do aplicativo, pegar a URL do banco de dados de adicionar “.json” ao final dela. Ao realizar esta ação, o banco de dados se abre automaticamente em aplicativos vulneráveis, como "um livro aberto" para hackers.

A Comparitech enviou os dados vazados ao Google que respondeu com a seguinte nota:

“O Firebase oferece vários recursos que permitem que os desenvolvedores configurem suas implementações de forma segura. Notificamos os desenvolvedores sobre potenciais erros de configuração e oferecemos recomendações de como corrigí-los. Estamos entrando em contato com os desenvolvedores afetados para ajudá-los a resolver estes problemas.”

Por fim, considerando que a média de aplicativos instalados por usuário fica entre 60 e 90, é muito provável que qualquer pessoa tenha sido afetada pela brecha de segurança, portanto, fique atento aos seus dados pessoais e no caso de qualquer login não identificado em qualquer site, altere as suas senhas imediatamente.