Pelo menos 600 apps do iOS expõem dados de usuários por falha em banco de dados

Talvez você nunca tenha ouvido falar da Firebase, mas possivelmente já usou algum aplicativo que tira proveito dela. Trata-se de uma plataforma de backend para a web ou dispositivos móveis adquirida pelo Google em 2014 — ou, basicamente falando, uma solução utilizada por desenvolvedores ao redor do mundo para lidar com os “bastidores” dos seus aplicativos: construção de interface, SDK1, banco de dados dos usuários, análise de uso e monetização são algumas das principais funcionalidades da plataforma.

Até aí, tudo bem. O problema é quando alguns desenvolvedores descuidados não se conectam à plataforma do jeito certo e acabam, dessa forma, expondo seus usuários a intrusos e, potencialmente, à internet como um todo. E foi exatamente isso que a firma de segurança Appthority descobriu recentemente, como informou o Bleeping Computer.

Os pesquisadores escanearam 2,7 milhões de aplicativos na App Store e no Google Play e descobriram mais de 113GB de informações de usuários, provenientes de mais de 2.200 bases de dados do Firebase, disponíveis abertamente na internet para qualquer um que saiba a URL certa. São mais de 100 milhões de dados pessoais expostos, entre login e senha, informações saúde, de localização e até mesmo de transações financeiras.

A causa da exposição é simples: uma falha na autenticação dos apps com a plataforma de nuvem criptografada do Firebase, que acaba colocando os dados em situação vulnerável na internet, sem nenhuma barreira de proteção. Os pesquisadores não informaram quais apps foram detectados como causadores do problema, mas, a julgar pelo fato de que (do lado do Android) os aplicativos foram baixados mais de 620 milhões de vezes, alguns títulos bem populares podem estar nesse meio.

O Google foi notificado sobre o problema e recebeu uma lista dos apps afetados, bem como as bases de dados expostas, mas ainda não se pronunciou sobre o caso.

De qualquer forma, fica o lembrete para nunca compartilhar informações sensíveis com aplicativos que não sejam absolutamente confiáveis — a gente nunca sabe quando o desenvolvedor do outro lado pode estar levemente descuidado, afinal.

via iMore

Posts relacionados

Comentários