LOADING...
Faça login e
comente
Usuário ou Email
Senha
Esqueceu sua senha?
Ou
Registrar e
publicar
Você está quase pronto! Agora definir o seu nome de usuário e senha.
Usuário
Email
Senha
Senha
» Anuncie » Envie uma dica Ei, você é um redator, programador ou web designer? Estamos contratando!

Perigo: falha em 24 mil apps da Google Play pode ter vazado dados pessoais de 7 milhões de usuários

14 de maio de 2020 4

Não é de hoje que a Google Play tem problemas com segurança, no passado ela já removeu vários aplicativos maliciosos de seu catálogo e parece que essa "novela" envolvendo falhas que expõem ou causam fraudes aos usuários está longe de encontrar um fim. Hoje, a Comparitech expôs uma mega falha envolvendo a Firebase que está vazando dados de usuários em milhares de apps do sistema Android.

O que é Firebase?

Se você ainda não conhece o Firebase, ele é um armazenamento online, entre outras funções, para dados de aplicativos do Google Play. Nele estão guardadas informações essenciais para que eles funcionem, muitas delas confidenciais e sigilosas. Segundo a Comparitech ele é utilizado por 30% dos aplicativos existentes na loja.

Aplicativos afetados

Entretanto, dentre esses aplicativos, 4,8% dos deles têm erros de configuração na Firebase com falhas que permitem a qualquer um acessar seus dados pessoais. Não é nem preciso senha ou qualquer login para realizar o acesso.

Para chegar ao vazamento, pesquisadores analisaram amostras de 515.735 aplicativos presentes na loja. Desses, 4.282 estavam vulneráveis. Por meio desses dados, foi possível chegar à conclusão de que aproximadamente 24 mil aplicativos sofrem da mesma condição.

Embora a Comparitech não tenha compartilhado uma lista de aplicativos e jogos afetados, ela disse que a categoria que mais expôs dados foi a dos jogos, seguida logo em seguida pelos aplicativos educativos.

Dados vazados

Como se isso não bastasse, esses aplicativos já foram instalados mais de 4,2 bilhões vezes em todo o mundo! Dentre os dados encontrados estão:

  • Endereços de e-mail: mais de 7 milhões
  • Nomes de usuário: mais de 4,4 milhões
  • Senhas: mais de 1 milhão
  • Números de telefone: mais de 5,3 milhões
  • Nome completo: mais de 18,3 milhões
  • Mensagens de bate-papo: mais de 6,8 milhões
  • Dados de localização: mais de 6,2 milhões
  • Endereços IP: mais de 156 mil
  • Endereços: mais de 560 mil.

Além desses, números de cartões de crédito, imagens de documentos e muitos outros dados foram expostos, aumentando ainda mais a gravidade do problema. Outro problema é que alguns desses bancos do Firebase tinham permissão para escrita, sendo assim, um hacker poderia até mesmo alterar ou apagar os dados do usuário sem ele sequer suspeitar do ocorrido.

Amostra de dados vazados pelo Firebase

Para acessar tais dados, somente era preciso analisar o código do aplicativo, pegar a URL do banco de dados de adicionar “.json” ao final dela. Ao realizar esta ação, o banco de dados se abre automaticamente em aplicativos vulneráveis, como "um livro aberto" para hackers.

Resposta do Google

A Comparitech enviou os dados vazados ao Google que respondeu com a seguinte nota:

“O Firebase oferece vários recursos que permitem que os desenvolvedores configurem suas implementações de forma segura. Notificamos os desenvolvedores sobre potenciais erros de configuração e oferecemos recomendações de como corrigí-los. Estamos entrando em contato com os desenvolvedores afetados para ajudá-los a resolver estes problemas.”

Por fim, considerando que a média de aplicativos instalados por usuário fica entre 60 e 90, é muito provável que qualquer pessoa tenha sido afetada pela brecha de segurança, portanto, fique atento aos seus dados pessoais e no caso de qualquer login não identificado em qualquer site, altere as suas senhas imediatamente.


4

Comentários

Perigo: falha em 24 mil apps da Google Play pode ter vazado dados pessoais de 7 milhões de usuários
  • Não sei do que estão reclamando Google, Facebook, Apple, Microsoft, Xiaomi, Oneplus etc etc etc etc todas coletam dados. Aí aparece uma que não está no clubinho, ficam Ain é falha de segurança

    • Ontem talvez pouquíssimas pessoas tenham notado, mas a Google Play não carregava nenhum aplicativo, ou notificação. Ao abrir, clicar em um jogo, ou pesquisar sobre algo, dava o seguinte erro "erro de servidor, tente novamente.". Esse erro aconteceu somente ontem por volta das 22 hrs.

        • Senha trocada.....

            Tech

            Coronavírus: Brasil chega a 57.622 mortes em 1.344.143 casos confirmados | Relatório diário

            Apple

            Agora tem widgets? iOS 14 e todas as suas novidades | Hands-on em vídeo

            Android

            Melhor celular ou smartphone: TOP 10 para você comprar | Junho 2020

            Tech

            De Peste Antonina à Covid-19: pandemias que abalaram o mundo | Detetive TudoCelular