Dados de usuários de mais de 19 mil aplicativos de Android estão em risco

A Avast, fornecedora global de antivírus, encontrou mais de 19,3 mil aplicativos de Android que expõem publicamente os dados dos usuários.

Isso ocorre devido a uma configuração incorreta do banco de dados do Firebase – uma ferramenta para Android que os desenvolvedores podem usar com o intuito de armazenar dados dos usuários. Isso tem colocado uma ampla gama de aplicativos de Android em risco, incluindo de estilo de vida, fitness, jogos, apps de delivery de comida e de correio em regiões do mundo todo, incluindo a Europa, o Sudeste Asiático e a América Latina.

LEIA MAIS: NOVO GOLPE do WhatsApp: Brasil é o principal alvo

De acordo com a Avast, os dados expostos podem incluir informações de identificação pessoal (PII, na sigla em inglês) coletadas pelos aplicativos, como nomes, endereços, dados de localização e, em alguns casos, até mesmo senhas. A Avast notificou o Google sobre as suas descobertas, para que os desenvolvedores de apps fossem informados quanto à necessidade de tomarem medidas corretivas.

A empresa explica que os desenvolvedores podem usar o Firebase para facilitar o desenvolvimento de aplicativos para dispositivos móveis e para web, voltados para plataformas de dispositivos móveis Android. Eles podem ainda manter a implementação do Firebase visível para outros desenvolvedores, então, tecnicamente, pode ser visível ao público.

Quando os pesquisadores dos Laboratórios da Avast analisaram 180 mil instâncias do Firebase publicamente disponíveis, eles descobriram que mais de 10% – o que resulta nos 19,3 mil – estavam abertas, expondo os dados a desenvolvedores não autenticados. Elas foram abertas devido às configurações incorretas por desenvolvedores de apps.

Erro de desenvolvedores

É preciso destacar que o problema não é uma falta de segurança do Google. Como a Avast explica, quem deixa as instâncias do Firebase abertas são os desenvolvedores, que acabam deixando os dados armazenados e usados pelos aplicativos de Android em risco de roubo. 

Os dados que esses aplicativos armazenam podem incluir uma variedade de informações, como dados de identificação pessoal (PII), incluindo nomes, datas de nascimento, endereços, números de telefones, informações de localização, tokens de serviços e chaves, entre outras informações que podem ser expostas por isso. Quando os desenvolvedores usam práticas de segurança inadequadas, os registros podem até conter senhas em texto simples. 

Segundo o pesquisador de Malware da Avast, Vladimir Martyanov, cada uma dessas instâncias abertas é um evento de violação de dados esperando para acontecer e pode gerar riscos aos negócios, jurídicos e regulatórios críticos se ocorrerem. “Potencialmente, as informações pessoais de mais de 10% dos usuários de aplicativos baseados no Firebase podem estar em risco.” 

Hoje, qualquer empresa tem um aplicativo, desde lojas, academias e serviço de correios até mesmo apps ambientais e de doação. A sociedade deseja mais praticidade e desenvolver apps traz mais conveniência aos usuários. A maior parte das vezes eles são desenvolvidos com boas finalidades em mente. 

“Mesmo assim, as empresas devem insistir no desenvolvimento responsável de seus apps, tornando a segurança e a privacidade uma parte fundamental de todo o processo de desenvolvimento dos aplicativos, não apenas como um complemento posterior”, afirma o pesquisador. 

Como se proteger

Como o problema é no desenvolvimento dos aplicativos, a recomendação da Avast é para que os desenvolvedores se mantenham informados sobre o potencial risco de bancos de dados configurados incorretamente e sigam as melhores práticas fornecidas pelo Google. 

“Pedimos a todos os desenvolvedores que verifiquem os seus bancos de dados e outros tipos de armazenamento em busca de possíveis configurações incorretas, para proteger os dados dos usuários e tornar o nosso mundo digital mais seguro”, diz Martyanov. 

Neste quesito, os usuários não tem muito o que fazer. Uma recomendação é verificar se você tem dados vazados. A plataforma mais comum para se verificar isso é o Have I Been Pwned. Só com o seu e-mail ou número de celular, o site consegue apontar se seus dados já foram vazados, quando e por onde. Outra opção é o Registrato, do Banco Central, que mostra as transações feitas com o seu CPF.