Dezenas de apps do Android são vulneráveis ao roubo de dados

Um grupo de investigadores da Universidade de New Haven, nos Estados Unidos, descobriram uma série de vulnerabilidade em vários aplicativos populares do Android, incluindo o Instagram, Vine, OKCupid e muito

Um grupo de investigadores da Universidade de New Haven, nos Estados Unidos, descobriram uma série de vulnerabilidade em vários aplicativos populares do Android, incluindo o Instagram, Vine, OKCupid e muito mais. Segundo os especialistas, os bugs poderiam expor a informação dos mais de 968 milhões de usuários que tem instalados estes apps nos seus dispositivos móveis.

O meu colega Chris Brook do Threatpost relatou que a maioria dos erros, quee foram divulgados pelo grupo de pesquisadores em uma série de vídeos no Youtube, resulta do armazenamento de conteúdos não criptografados nos servidores que controlam os aplicativos vulneráveis​​.

“Qualquer um que tenha usado ou continua usando os aplicativos testados estão em risco de ter seus dados confidenciais violados, incluindo suas senhas em alguns casos”, diz Abe Baggili, professor assistente de ciência da computação na Tagliatela Faculdade de Engenharia da Universidade de New Hampshire.

Segundo o Threatpost, a funcionalidade de mensagens do Instagram estava vazando fotos compartilhadas entre os usuários, bem como imagens antigas que foram armazenadas em texto simples nos servidores do app. Os pesquisadores também foram capazes de visualizar informação pessoalque os usuários compartilhavam no famoso serviço de encontros online OKCupid. Enquanto isso, o aplicativo video chat ooVoo também possui as mesmas vulnerabilidade do Instagram. Falta de criptografia completa do Instagram é uma questão que tratamos aqui no Kaspersky diário no passado.

Por outra parte, outros três outros aplicativos de chamadas e mensagens gratuitas: Tango, Nimbuzz e Kik têm bugs que permitem interceptar imagens, pontos de localização e vídeos. Em Nimbuzz, além disso, descobriram que as senhas dos usuários eram armazenadas em texto plano.

Infelizmente a lista não termina aqui, MeetMe, MessageMe e TextMe também estão enviando informações em texto simples sem criptografia, que pode dar a um cibercriminosos a capacidade de monitorar as comunicações entre os usuários que executam esses aplicativos em uma rede local. Os pesquisadores também encontraram um arquivo de base da dados TextMe que armazenava as credenciais de acesso em texto plano.

Grindr, HeyWire, Hike e TexPlus tambpem possuem erros similares. Mensagens, imagens e localização podem ser facilmente expostos por cibercriminais que utilizam a conhecida ferramenta WireShark.

“Usando a ferramenta HeliumBackup do Android, nós fomos capazes de obter acesso aos arquivos de backup do TextPlus”, disse um dos pesquisadores. “Quando abri-lo, percebemos que houve capturas de tela da atividade do usuário que não tomar. Nós não sabemos o propósito dessas imagens ou porque estão sendo armazenados no dispositivo. ”

Finalmente, os aplicativos de SayHi, MyChat, ooVoo, Kik, Hike, MyChat, WeChat, HeyWire, GroupMe, LINE, Whisper, Vine, Voxer e Words With Friends salvam todos os logs dos seus chats em texto plano.

“Apesar de que todos os dados transmitidos através destes aplicativos deveria ir de forma segura, nós descubrimos que as comunciações privadas entre os usuáruos poderiamm ser visualizadas por outros, porque os dados não estão sendo criptografados e o usuário original não tem a menor ideia disto”, explicou Baggili.

Os pesquisadores tentaram notificar cada um dos desenvolvedores por trás dos aplicativos em questão, ma, segundo eles, na maioria dos casos eles encontraram frente aos formulários de suporte técnico e nennhum meio de de comunicação direta. Até oo momento nenhum dos pesquisadores foram notificados se os erros foram corrigidos.

Nós da Kaspersky Lab, entramos em contato com o Instagram, mas a empresa ainda não respondeu ao nosso pedido. Não está claro se os desenvolvedores desses aplicativos pretende corrigir os erros descritos aqui.

Dito isto, o CNET conseguiu entrar em contato com o Instagram, Kik e Grindr e, segundo afirmaram, as empresas comunicaram o seguinte os desenvolvedores do Instagram asseguraram que, atualmente,  o app está em processo de mudança para criptografia completa, que possa resolver os problemas. Kik disse que está trabalhando para criptografar os arquivos compartilhados entre os usuários, mas que não irá criptografar as conversas porque esses registros são isolados e não sçao acessíveis a partir dos apps. O Grindr apenas disse que monitora relatórios de segurança como estes e faz as alterações que julgar necessárias.

Tradução: Juliana Costa Santos Dias

Dicas