Milhões de usuários do iOS lidam, todos os dias, com aplicativos dedicados a converter arquivos — para transformar, por exemplo, documentos do Word ou do PowerPoint em PDFs ou coisas do tipo. Desses milhões de usuários, boa parte deles utiliza essas aplicações em contextos empresariais, convertendo arquivos potencialmente confidenciais. É de se esperar, portanto, que esses apps tragam uma boa dose de segurança e privacidade, certo? Bom… em alguns casos, não.

Uma pesquisa recente da empresa de cibersegurança Wandera revelou que nada menos que 23 aplicativos de conversão e gerenciamento de arquivos, usados por mais de 3 milhões de usuários, não cumprem o prometido em um aspecto básico de segurança: a criptografia. Em outras palavras, os apps enviam os arquivos para os servidores das empresas responsáveis, onde eles serão convertidos, sem nenhuma proteção — potencialmente pondo a privacidade de milhões de usuários em risco.

Os 23 apps são todos da mesma desenvolvedora, a Cometdocs. Seus nomes estão listados abaixo:

Todos os apps têm funcionamento parecido: você pode fazer o upload manual de arquivos salvos na memória do seu iPhone/iPad para convertê-los, ou conectar os apps às suas contas de serviços na nuvem (como iCloud, Gmail, Google Drive, OneDrive ou Dropbox) para resgatar os arquivos mais rapidamente. Uma vez selecionado o arquivo, ele é enviado para os servidores da Cometdocs (sem criptografia), convertido e mandado de volta para o seu dispositivo já no novo formato.

O problema descoberto pela Wandera tem duas faces: em primeiro lugar, os arquivos enviados de forma desprotegida para os servidores da Cometdocs podem ser obtidos e analisados pela própria desenvolvedora, o que já representa um risco de segurança por si só. O mais preocupante, entretanto, é notar que essa troca de arquivos descriptografada expõe o usuário a uma série de ataques, permitindo que potenciais agentes maliciosos capturem esses documentos invadindo redes Wi-Fi ou vasculhando o cache dos arquivos.

A firma de cibersegurança notou que a questão não se restringe à Cometdocs, já que tanto a App Store quanto o Google Play estão cheios de aplicativos de conversão pouco confiáveis. Isso representa um problema grave de segurança — especialmente considerando que milhões de usuários corporativos usam esses apps em seus dispositivos cedidos pelas empresas, potencialmente expondo arquivos confidenciais nesse simples (e aparentemente inofensivo) processo de conversão.

Portanto, fica a dica: sendo um usuário “comum” ou corporativo, sempre verifique a reputação dos desenvolvedores e dos apps que você usa. Nada de muito novo por aqui, não é verdade?

via 9to5Mac