Blog single photo

Revelado: 4.000 aplicativos Android expõem milhões de senhas, números de telefone e mensagens - Forbes

Milhares de aplicativos Android configurados incorretamente estão deixando expostos os dados confidenciais, descobriram os pesquisadores       Imagens SOPA / LightRocket via Getty Images      Adquirida pelo Google em 2014, a Firebase é uma plataforma móvel que ajuda os usuários a desenvolver aplicativos de maneira rápida e segura. Pense nisso como a plataforma de produção de aplicativos de escolha para um grande número de desenvolvedores, aproveitando o banco de dados em tempo real hospedado na nuvem que permite fácil armazenamento e sincronização de dados entre os usuários. Facilita a colaboração entre plataformas, leva o desenvolvimento de aplicativos sem servidor para as massas e é forte em segurança baseada no usuário. Nesse caso, os desenvolvedores configuram tudo com segurança em primeiro lugar. Novas pesquisas da Comparitech sugerem que configurações incorretas comuns dos bancos de dados do Google Firebase estão expondo informações confidenciais, incluindo senhas, números de telefone e mensagens de bate-papo, para quem quiser procurar. Aqui está o que você precisa saber. O problema do erro de configuração do aplicativo Android, pelos números Uma equipe de pesquisa de segurança da Comparitech liderada por Bob Diachenko analisou uma amostra de 515.735 aplicativos Android da loja Google Play. Desses, 155.066 estavam usando o Firebase. Falei com Diachenko, que confirmou que, a partir da amostra que estava usando o Firebase, cerca de 11.730 desses aplicativos estavam expondo esse banco de dados publicamente.   Aprofundando ainda mais, 9.014 incluiu as permissões de gravação necessárias para permitir que um invasor em potencial modifique dados, incluindo a adição ou exclusão de dados, além de apenas visualizar ou fazer download deles. E por falar nisso, a análise da Comparitech revelou que 4.282 dos aplicativos estavam vazando informações confidenciais. Segundo o relatório, esses dados expostos incluem mais de 7 milhões de endereços de e-mail e quase o mesmo número de mensagens de bate-papo. Existem 4,4 milhões de nomes de usuários e 1 milhão de senhas a serem consideradas, além de 5 milhões de números de telefone.   Todos os quais são preocupantes o suficiente, pois são grandes números, mas devem ser colocados em alguma perspectiva. Estima-se que mais de 1,5 milhão de aplicativos usavam a plataforma Firebase, no Android e iOS, em março de 2020. Mesmo se você extrapolar dos números de análise, como a Comparitech fez para alcançar um total de 24.000 aplicativos Android com potencial vazamento de dados confidenciais por causa desses erros de configuração, isso representa apenas 1,6% de todos os aplicativos que usam o Firebase e 0,94% de todos os aplicativos disponíveis para download no próprio Google Play. Como hackers usaram esta ferramenta surpreendente do Google para evitar a detecção 128.000 vezes, por Davey Winder Procurando os aplicativos de banco de dados expostos do Firebase Os pesquisadores da Comparitech foram capazes de descobrir os aplicativos que expuseram publicamente os bancos de dados pesquisando primeiro nos recursos do aplicativo por cadeias de texto indicativas do uso do Firebase. A partir daí, anexar uma solicitação ao URL do banco de dados com .json permitiu que os bancos de dados públicos fossem acessados ​​através da API REST do Firebase para dados armazenados. Uma resposta de acesso negado é o que os pesquisadores queriam obter, pois isso indica exposição não pública, mas, como mostra o relatório, eles terminaram com o conteúdo completo do banco de dados retornado com muita frequência. Os pesquisadores procuraram informações sensíveis que foram verificadas manualmente quanto a falsos positivos. "Todos os dados acessados ​​foram destruídos", disseram os pesquisadores, garantindo que a pesquisa "fosse totalmente compatível com os padrões e procedimentos do chapéu branco". Para revelar qualquer acesso de gravação aos bancos de dados, uma solicitação PUT foi usada para criar um novo nó e excluí-lo. Atenuando o risco de erro de configuração Como em todos os problemas de vazamento do banco de dados que podem ser rastreados até um erro de configuração, o conselho de mitigação parece bastante simples: acerte a configuração do banco de dados na primeira vez. Infelizmente, as coisas raramente são tão simples como parecem. Portanto, com certeza, os conselhos de mitigação oferecidos aos pesquisadores, neste caso, de implementar as regras apropriadas do banco de dados e impedir o acesso não autorizado a acessar dados confidenciais, estão corretos. A recomendação de que os desenvolvedores de aplicativos sigam as diretrizes de "Segurança e regras", conforme definido na documentação do Firebase do Google, deve ser fácil, mas não é. Isso foi demonstrado repetidamente, com todos os tipos de bancos de dados on-line sendo mal configurados e levando a relatórios de vazamento de dados publicamente. De fato, no início deste ano, foi relatado que 82% das "vulnerabilidades" de segurança eram devidas a erros de configuração incorreta de um tipo ou de outro. Como o Google Hack chinês tornou o trabalho em casa mais seguro, por Davey Winder OK, então, este não é um problema do Google Firebase, é um problema do desenvolvedor, certo? Além do fato de que jogar o jogo da culpa aqui não é particularmente útil, também não é tão preto e branco. "Qualquer pessoa que não pense que o desenvolvimento de TI e software não é um processo iterativo simplesmente não entende como tudo funciona", diz Ian Thornton-Trump, CISO da Cyjax, "não se trata do erro, é como se recuperar do erro e fazer melhor. " O especialista em segurança John Opdenakker concorda e diz que o que é útil é "um ciclo de vida de desenvolvimento de software seguro, pois incorpora a segurança no processo e, portanto, o tempo necessário para a segurança pode ser planejado". Se devemos culpar alguém, ou melhor, qualquer coisa, então o tempo deve estar na frente e no centro. O instrutor de segurança de aplicativos e co-líder do capítulo da Escócia do Open Web Application Security Project (OWASP), Sean Wright, tem certeza disso. "Uma coisa que eu já vi tantas vezes é que muitos desenvolvedores estão sob pressão constante para entregar", explica Wright: "Isso significa que eles seguirão o caminho mais curto para entregar". Isso significa que não é incomum que os desenvolvedores de aplicativos se refiram a exemplos existentes de implementação de tecnologia e não à documentação original. "Isso não é um problema se o exemplo for correto e seguro", diz Wright, "mas em muitos casos, esse não é o caso. Os desenvolvedores precisam entender o que estão fazendo, mas considerando as pressões do tempo que eles estão abaixo, isso geralmente não é possível ". MAIS DO FORBESHacker alega violação da popular loja de aplicativos Android: publica 20 milhões de credenciais de usuário O que o Google diz sobre o risco de dados de configuração incorreta do Firebase? Os pesquisadores da Comparitech informaram o Google das conclusões do relatório em 22 de abril e receberam a seguinte declaração em resposta: "O Firebase fornece vários recursos que ajudam nossos desenvolvedores a configurar suas implantações com segurança. Fornecemos notificações aos desenvolvedores sobre possíveis configurações incorretas em suas implantações e oferecemos recomendações para corrigi-las. Estamos entrando em contato com os desenvolvedores afetados para ajudá-los a resolver esses problemas". Também entrei em contato com o Google e, se houver mais comentários, atualizarei este artigo de acordo. consulte Mais informação



footer
Top