Aplicativos para Android não passam em testes básicos de segurança

Jeremy Kirk – IDG News Service

android-robotAplicativos populares como Instagram, Grindr, OkCupid e muitos outros, para Android, falharam em implementar precauções básicas de segurança para proteger os dados de seus usuários, colocando sua privacidade em risco.

A conclusão é de um estudo publicado pelo grupo de pesquisa em Cyber Forensics e Educação da Universidade de New Haven (UNHcFREG), que no início do ano foi responsável por apontar as vulnerabilidades dos aplicativos de mensagens WhatsApp e Viber.

Dessa vez, o grupo expandiu sua análise para um leque maior de aplicativos Android em busca de pontos fracos que pudessem representar risco de interceptação de dados por cibercriminosos. O grupo vai liberar um vídeo por dia esta semana, no seu canal do YouTube, apresentando suas descobertas que, segundo eles, poderão afetar mais de 1 bilhão de usuários.

Desenvolvedores desleixados

“O que descobrimos é que os desenvolvedores de aplicativos são muito desleixados”, disse Ibrahim Baggili, diretor do UNHcFREG e editor-chefe do Journal of Digital Forensics, Security and Law, em uma entrevista por telefone.

Os pesquisadores usaram ferramentas de análise de tráfego de dados, como a Wireshark e a NetworkMiner, para ver como os dados eram compartilhados quando certas ações eram executadas. A análise mostrou como e onde os aplicativos armazenavam e transmitiam os dados.

O app Instagram, do Facebook, por exemplo, ainda tinha imagens nos seus servidores que estavam sem criptografia e que podiam ser acessadas sem precisar de autenticação. O mesmo tipo de problema foi encontrado em apps como OoVoo, MessageMe, Tango, Grindr, HeyWire e TextPlus, quando as fotos eram enviadas de um usuário para outro.

Sem autenticação

Esses serviços estavam armazenando o conteúdo usando links puros “http”, que eram então repassados para os destinatários. O problema é que “se qualquer pessoa tiver acesso a esse link ela poderá ter acesso diretamente às fotos associadas a ele. Não há autenticação”, diz Baggili.

Os serviços deveriam também garantir que as imagens fossem rapidamente apagadas de seus servidores ou que apenas usuários autenticados pudessem ter acesso a elas, diz o pesquisador.

Muitos aplicativos também não criptografam logs de chats nos dispositivos, incluindo OoVoo, Kik, Nimbuzz and MeetMe. Isso é um risco se outra pessoa se apossar do seu equipamento, diz Baggili. “Qualquer um que tenha acesso ao seu telefone pode baixar o backup e ver todas as mensagens que foram trocadas com outras pessoas”, alerta. Um problema pior, é que outros aplicativos não criptografam também os logs de chats no servidor, diz a pesquisa.

Falta SSL

Outra descoberta importante é relacionada ao número de aplicativos que ignoram o uso de SSL/TLS (Secure Sockets Layer/Transport Security Layer) ou usam de forma insegura, aponta Baggili.

Hackers poderiam interceptar o tráfego desprotegido em uma rede Wi-Fi Se a vítima está em um lugar público, esse seria o tipo de ataque “man-in-the-middle”. O uso de SSL/TLS é considerado precaução básica de segurança.

O aplicativo OkCupid, usado por cerca de 3 milhões de pessoas, não criptografa os chats via SSL, diz Baggili. Usando um sniffer de tráfego, os pesquisadores puderam ver o texto que estava sendo enviado e também quem o estava enviando, segundo um dos vídeos de demostração da equipe.

Baggili disse que seu time entrou em contato com os desenvolvedores dos aplicativos que foram analisados, mas em muitos casos não foi fácil encontrá-los. Muitos endereços de email informados como suporte sequer enviaram respostas aos pedidos.

Related Posts with Thumbnails
Aplicativos para Android não passam em testes básicos de segurança
Classificado como: