Falhas de segurança graves na Google Play

Milhares de aplicações móveis contêm chaves de autenticação, facilmente acessíveis para roubar dados corporativos e pessoais.

Aplicações Android_ James Niccolai_ IDG (DR)Investigadores da Universidade de Columbia descobriram que os programadores de aplicações móveis da Google Play alojam geralmente chaves de autenticação nessas apps Android. Facilitam assim as acções de cibercriminosos interessados em roubar dados empresariais ou pessoais.

A falha grave lança dúvidas sobre a eficácia das ferramentas de rastreio automatizado usado pela Google detectar códigos nocivos e outros problemas nas aplicações, passíveis de representar riscos. Face ao problema, os CISO responsáveis pelas políticas de BYOD nas empresas não deverão ficar satisfeitos com os Android, considera Jonathan Sander, director de investigação e estratégia para a STEALTHbits Technologies.

A Google, foi notificada sobre o problema, mas não respondeu a um pedido de comentário da IDG. Os investigadores desenvolveram uma ferramenta ‒ a PlayDrone ‒ com a qual conseguiram indexar e analisar mais de 1,1 milhão de aplicações na Google Play.

Usando várias técnicas de hacking e usando a PlayDrone, contornaram a tecnologia da Google para evitar a indexação de conteúdo na loja e extraiu o código fonte de mais de 880 mil aplicações gratuitas.

Ao “descompilarem” e analisarem as apps, descobriram que “os programadores geralmente armazenam chaves de autenticação secretas nas suas aplicações de Android, sem perceber que esses elementos são facilmente comprometidos através da ‘descompilação'”.

As chaves de autenticação são usadas ​​para estabelecer conexões seguras entre aplicações e servidores com os quais comunicam. Se os criminosos obtiverem as chaves, podem decifrar informações alojadas pelas aplicações num servidor remoto, mesmo aqueles pertencentes fornecedores de serviços de cloud computing, como a Amazon Web Services ou a Facebook, dizem os investigadores.

“Se não houver dados empresariais na plataforma de cloud, e uma empresa tiver uma aplicação com as chaves secretas, alguém poderá potencialmente roubar dados a partir da cloud”, considera Jason Nieh, co-autor da investigação.




Deixe um comentário

O seu email não será publicado