Milhões de aplicativos com código de terceiros podem expor dados pessoais, diz Kaspersky

Durante a análise de alguns aplicativos de encontros, a Kaspersky Lab descobriu que alguns apps transmitem dados de usuários sem criptografia, usando um protocolo HTTP (sem o “S”) não seguro. Sendo assim, a prática expõe ao risco de vazamento de dados.

Alguns usam SDKs de publicidade de terceiros, que fazem parte das várias redes de publicidade mais populares. Os aplicativos envolvidos já foram instalados bilhões de vezes no mundo todo, e uma falha grave significa que dados particulares podem ser interceptados, modificados e usados em futuros ataques e fazendo vítimas.

“A escala que, inicialmente pensamos ser apenas alguns casos específicos de design de aplicativo negligenciados, é esmagadora. Milhões de aplicativos incluem SDKs de terceiros, expondo dados privados que podem ser facilmente interceptados e modificados – levando a infecções por malware, chantagens e outros vetores de ataque altamente eficazes em seus dispositivos”, declarou Roman Unuchek, pesquisador de segurança da Kaspersky Lab.

O SDK é um conjunto de ferramentas de desenvolvimento, muitas vezes distribuído gratuitamente, que permite que os autores se concentrem nos elementos principais do aplicativo, confiando outros recursos aos SDKs prontos para uso, economizando tempo.

SDKs sem criptografia

Os SDKs de publicidade, por exemplo, coletam dados de usuários para mostrar anúncios relevantes e, assim, ajudar os desenvolvedores a ganhar dinheiro com seu produto. Mas uma análise mais profunda dos aplicativos mostrou que os dados são enviados sem criptografia, o que significa que está desprotegido na transmissão aos servidores.

A ausência de criptografia sugere que os dados podem ser interceptados por qualquer pessoa – por meio de Wi-Fi desprotegido, pelo provedor de serviços de Internet ou por meio de malware em um roteador doméstico. Os dados também podem ser modificados, o que significa que o aplicativo mostrará anúncios maliciosos em vez dos legítimos. Os usuários serão atraídos para baixar um aplicativo promovido, que pode acabar sendo um malware.

Os pesquisadores da Kaspersky Lab examinaram os logs e o tráfego de rede dos aplicativos na Sandbox interna do Android para descobrir quais aplicativos transmitem dados de usuário não criptografados para as redes via HTTP. Foram identificados vários domínios importantes, sendo que a maioria deles faz parte de redes de publicidade conhecidas. O número de aplicativos que usam esses SDKs totaliza vários milhões e a maioria transmite pelo menos um dos seguintes dados sem criptografá-los com HTTPs:

• nome, idade e sexo do usuário (podem incluir até a renda do usuário), números de telefone e endereços de e-mail também podem vazar;
• informações do aparelho como fabricante, modelo, tela, sistema e nome do aplicativo;
• Localização do dispositivo;

Evite ter seus dados pessoais acessados

A Kaspersky Lab recomenda que os usuários adotem estas medidas:

• Verifique as permissões de seus aplicativos. Só permita o acesso de recursos quando você entender o motivo. A maioria dos aplicativos não precisa acessar sua localização, por exemplo, então não essa dê permissão;
• Use uma rede privada virtual (VPN). Elas encriptam o tráfego de rede entre o seu dispositivo e os servidores. No entanto, eles continuarão não sendo encriptados atrás dos servidores da VPN, mas pelo menos o risco de vazamento durante o processo é reduzido.