Tecnologia

Como seus aplicativos podem estar expondo seus dados privados

Fonte: Thinkstock

Fonte: Thinkstock

Os aplicativos móveis que usamos para enviar fotos e mensagens de texto para seus amigos são tão seguros quanto gostaríamos de pensar que são? O mais recente - mas quando você pensa sobre isso, nada surpreendente - resposta? Provavelmente não. De acordo com pesquisa publicada pelo Grupo de Pesquisa e Educação Cibernética da Universidade de New Haven (cFREG), aplicativos populares para Android e iOS usados ​​por 968 milhões de usuários de smartphones são suscetíveis a uma ampla variedade de problemas graves de segurança, violações de privacidade e outras vulnerabilidades, muitas delas causadas por falta de criptografia e autenticação básicas para proteger as informações quando são transmitidas ou armazenadas.

O cFREG diz que divulgará os problemas de segurança encontrados em mais de uma dúzia de aplicativos em uma série de vídeos durante um período de cinco dias, começando com um postado no domingo . (O restante estará disponível no blog do grupo e Canal do Youtube .) Ao longo da semana, o grupo revelará problemas de segurança e identificará os aplicativos que eles afetam. Os problemas de segurança “incluem senhas disponíveis em texto simples e informações privadas armazenadas nos servidores da empresa”. Ibrahim “Abe” Baggili, professor assistente de ciência da computação e chefe do cFREG, observa:



“Qualquer pessoa que tenha usado ou continue a usar os aplicativos testados corre o risco de violações confidenciais envolvendo uma variedade de dados, incluindo suas senhas em alguns casos. Embora todos os dados transmitidos por meio desses aplicativos devam ir com segurança apenas de uma pessoa para outra, descobrimos que as comunicações privadas podem ser visualizadas por outras pessoas porque os dados não estão sendo criptografados e o usuário original não tem ideia. ”

Localizações de usuários, senhas, logs de bate-papo, imagens, vídeos, áudio e esboços podem ser potencialmente visualizados por alguém que explora as vulnerabilidades encontradas em mais de uma dúzia de aplicativos, incluindo mídia social, bate-papo e aplicativos de namoro. A equipe cFREG tentou notificar as empresas por trás de cada um dos aplicativos, mas muitos fornecem apenas um formulário de contato da web para suporte, sem uma forma direta de chegar aos desenvolvedores ou à equipe de segurança.

programa do intervalo do Super Bowl mais assistido

Baggili explica que, “Não tivemos escolha a não ser usar os formulários de contato de suporte disponíveis em seus sites, e a maioria das empresas nem mesmo respondeu. Isso agrava o problema - e mostra que os desenvolvedores móveis ainda não estão levando a segurança a sério. ” O primeiro video diz que as vulnerabilidades estão sendo compartilhadas publicamente para informar tanto o usuário quanto o desenvolvedor sobre os problemas de segurança. Na primavera passada, o cFREG divulgou vulnerabilidades no WhatsApp e Viber, chamando a atenção em todo o mundo, e ambas as empresas corrigiram os problemas de segurança de seus aplicativos.

Para o teste, pesquisadores da University of New Haven criaram uma rede de teste usando o adaptador de miniporta virtual do Windows 7 e conectaram um telefone Android HTC One (M8) à rede. O teste também usou um iPad 2 conectado fora da rede para trocar dados com o telefone e ferramentas incluindo Wireshark, NetworkMiner e NetWitness Investigator para monitorar todo o tráfego enviado e recebido pelo telefone Android.

Os testes descritos no primeiro vídeo encontraram vulnerabilidades no Instagram, OkCupid e ooVoo. O Instagram, por exemplo, armazena fotos enviadas por sua base de usuários de mais de 200 milhões não criptografadas em seus servidores, sem autenticação. Ele também transmite imagens sem criptografia. O vídeo observa que os desenvolvedores precisam lidar com questões de segurança e privacidade de dados - ou seja, a transmissão segura de dados e o armazenamento seguro de dados, respectivamente. As versões atuais de muitos aplicativos tornam mais fácil para estranhos acessar as fotos e mensagens que os usuários compartilham por meio de seus aplicativos móveis, e essas informações podem ser acessadas sem que o usuário saiba que sua privacidade foi violada.

cenas do jogo dos tronos da 6ª temporada

VentureBeat aprendi que o cFREG encontrou vulnerabilidades em quase duas dúzias de aplicativos , incluindo Instagram, OkCupid, Words with Friends, Vine e Line, além de outros como ooVoo, Tango, Kik, Nimbuzz, MeetMe, MessageMe, TextMe, Grindr, HeyWire, Hike, textPlus, MyChat, WeChat, GroupMe, Whisper e Voxer . Baggili disse VentureBeat que muitos aplicativos não conseguem criptografar dados como fotos, mensagens de texto e áudio. Até mesmo as senhas são frequentemente armazenadas como texto simples, as mensagens são transmitidas sem criptografia e os arquivos são armazenados sem proteção nos servidores da empresa.

Baggili disse que os desenvolvedores por trás de muitos desses aplicativos 'não levam a segurança a sério'. Ele também observou que, embora não haja evidências de que qualquer uma das vulnerabilidades foi deliberada, isso também não pode ser descartado. O relatório muda o foco das conversas sobre segurança móvel da nuvem - onde tem sido direcionado desde o hack inoportuno do iCloud - para o design de aplicativos individuais e a atenção que os desenvolvedores dedicam à construção de métodos para armazenar e transmitir informações com segurança e implementação até mesmo a mais básica das medidas de segurança para garantir que os dados privados dos usuários permaneçam privados. A série de vídeos lançada pelo cFREG esta semana deve ilustrar que o problema de segurança de aplicativos móveis é muito maior do que a maioria das pessoas gostaria de pensar.

Com quase um bilhão de usuários entre eles, os aplicativos afetados podem expor milhões de informações de usuários. Esperançosamente, identificar os aplicativos não seguros e fazer pesquisas sobre as vulnerabilidades públicas dará início ao processo de desenvolvedores tornando seus aplicativos mais seguros e tornará os consumidores mais cientes dos riscos de compartilhar suas informações pessoais por meio de aplicativos que não parecem obviamente inseguros. Se os desenvolvedores realmente não estão levando a segurança e privacidade dos dados dos usuários a sério, será do seu interesse consertar os designs defeituosos de seus aplicativos antes que as vulnerabilidades sejam exploradas.

No site da Universidade de New Haven, Baggili defende que os consumidores que usam aplicativos com problemas de segurança verifiquem se há atualizações diariamente e também aprendam a executar testes de segurança por conta própria. “Realmente não há como saber o que esses aplicativos estão fazendo, a menos que você mesmo teste”, diz ele.

Mais da Folha de Dicas de Tecnologia:

  • Os quatro maiores lançamentos de videogame desta semana
  • Veja como a Apple protegerá os cartões de crédito em sua carteira digital
  • Três vazamentos de última hora da Apple: iPhone 6 funcional, iWatch e mais