Apps para Android como Instagram, Grindr, OkCupid e muitos outros foram reprovados em proteção de dados e privacidade de seus usuários
Aplicativos populares como Instagram, Grindr, OkCupid e muitos outros, para Android, falharam em implementar precauções básicas de segurança para proteger os dados de seus usuários, colocando sua privacidade em risco.
A conclusão é de um estudo publicado pelo grupo de pesquisa em Cyber Forensics e Educação da Universidade de New Haven (UNHcFREG), que no início do ano foi responsável por apontar as vulnerabilidades dos aplicativos de mensagens WhatsApp e Viber.
Dessa vez, o grupo expandiu sua análise para um leque maior de aplicativos Android em busca de pontos fracos que pudessem representar risco de interceptação de dados por cibercriminosos. O grupo vai liberar um vídeo por dia esta semana, no seu canal do YouTube, apresentando suas descobertas que, segundo eles, poderão afetar mais de 1 bilhão de usuários.
Desenvolvedores desleixados
"O que descobrimos é que os desenvolvedores de aplicativos são muito desleixados", disse Ibrahim Baggili, diretor do UNHcFREG e editor-chefe do Journal of Digital Forensics, Security and Law, em uma entrevista por telefone.
Os pesquisadores usaram ferramentas de análise de tráfego de dados, como a Wireshark e a NetworkMiner, para ver como os dados eram compartilhados quando certas ações eram executadas. A análise mostrou como e onde os aplicativos armazenavam e transmitiam os dados.
O app Instagram, do Facebook, por exemplo, ainda tinha imagens nos seus servidores que estavam sem criptografia e que podiam ser acessadas sem precisar de autenticação. O mesmo tipo de problema foi encontrado em apps como OoVoo, MessageMe, Tango, Grindr, HeyWire e TextPlus, quando as fotos eram enviadas de um usuário para outro.
Sem autenticação
Esses serviços estavam armazenando o conteúdo usando links puros "http", que eram então repassados para os destinatários. O problema é que "se qualquer pessoa tiver acesso a esse link ela poderá ter acesso diretamente às fotos associadas a ele. Não há autenticação", diz Baggili.
Os serviços deveriam também garantir que as imagens fossem rapidamente apagadas de seus servidores ou que apenas usuários autenticados pudessem ter acesso a elas, diz o pesquisador.
Muitos aplicativos também não criptografam logs de chats nos dispositivos, incluindo OoVoo, Kik, Nimbuzz and MeetMe. Isso é um risco se outra pessoa se apossar do seu equipamento, diz Baggili. "Qualquer um que tenha acesso ao seu telefone pode baixar o backup e ver todas as mensagens que foram trocadas com outras pessoas", alerta. Um problema pior, é que outros aplicativos não criptografam também os logs de chats no servidor, diz a pesquisa.
by PCWorld
Nenhum comentário:
Postar um comentário