Avast diz que 19,3 mil apps Android expõem dados de usuários
A empres de segurança digital Avast informou ter encontrado mais de 19,3 mil aplicativos de Android que expõem publicamente os dados dos usuários, devido a uma configuração incorreta do banco de dados do Firebase – uma ferramenta para Android que os desenvolvedores podem usar com o intuito de armazenar dados dos usuários. Isso afeta uma ampla gama de diferentes aplicativos, incluindo de estilo de vida, fitness, jogos, apps de delivery de comida e de correio em regiões do mundo todo, incluindo a Europa, o Sudeste Asiático e a América Latina.
Os dados expostos podem incluir informações de identificação pessoal (PII, Personally Identifiable Information) coletadas pelos aplicativos, como nomes, endereços, dados de localização e, em alguns casos, até mesmo senhas. A Avast notificou o Google sobre as suas descobertas, para que os desenvolvedores de apps fossem informados quanto à necessidade de tomarem medidas corretivas.
Os desenvolvedores podem usar o Firebase para facilitar o desenvolvimento de aplicativos para dispositivos móveis e para web, voltados para plataformas de dispositivos móveis Android. Eles podem ainda manter a implementação do Firebase visível para outros desenvolvedores, então, tecnicamente, pode ser visível ao público. Quando os pesquisadores dos Laboratórios da Avast analisaram 180.300 instâncias do Firebase publicamente disponíveis, eles descobriram que mais de 10% (19.300) estavam abertas, expondo os dados a desenvolvedores não autenticados. Elas foram abertas devido às configurações incorretas por desenvolvedores de apps.
Essas instâncias abertas colocam os dados armazenados e usados pelos aplicativos desenvolvidos com o Firebase em risco de roubo. Os dados que esses aplicativos armazenam podem incluir uma variedade de informações, como dados de identificação pessoal (PII), incluindo nomes, datas de nascimento, endereços, números de telefones, informações de localização, tokens de serviços e chaves, entre outras informações que podem ser expostas por isso. Quando os desenvolvedores usam práticas de segurança inadequadas, os registros podem até conter senhas em texto simples.
