Centenas de aplicações Android e iOS estão a "roubar" os seus dados pessoais

Centenas de aplicações Android e iOS estão a "roubar" os seus dados pessoais

5 Setembro, 2022 0 Por Joel Pinto

A Symantec fez um alerta sobre a facilidade com que milhões de informações privadas de pessoas podem ser acedidas através de diversas aplicações, com especial destaque para aquelas que estão a ser executadas em dispositivos iOS.

O problema surgiria especificamente da reutilização de tokens válidos da Amazon Web Services (AWS). Este estaria a abrir a porta a um grande número de informações. A reutilização desses tokens codificados da Amazon Web Services foi identificada como uma grave vulnerabilidade de segurança que está presente em 1859 aplicações, em que 98% das mesmas são para o iOS.

De facto, esse alerta dá conta da reutilização das mesmas credenciais da AWS em 53% das aplicações testadas pela Symantec, aumentando em dez vezes o perigo de fuga desses dados. Para a Symantec, o problema decorre da cadeia de suprimentos, principalmente ao desenvolver aplicações utilizando kits de desenvolvimento de software (SDKs).

Segundo a empresa, a vulnerabilidade é limitada se o código da AWS permitir apenas o acesso a um único ficheiro presente no Amazon Simple Storage Service (S3), mas não é o caso desta instância. Uma das instâncias é o SDK de uma empresa B2B. O que dá aos clientes acesso a todas as chaves de infraestrutura em nuvem da empresa, além da sua plataforma. Existem mais de 15000 grandes, e médias, empresas listadas por lá. E a Symantec afirma que informações sobre clientes e funcionários, bem como registos financeiros, podem acidentalmente ser objecto de vazamentos.

Aplicações

Aplicações podem fornecer acesso ao que não devem

Segundo a Symantec, “para aceder ao serviço de tradução da AWS, a empresa codificou o token de acesso da AWS. Qualquer pessoa com o token de acesso codificado, no entanto, tinha acesso completo e irrestrito a todos os serviços de nuvem AWS da empresa B2B, em vez de apenas o serviço de nuvem de tradução."

A reutilização desses tokens, que concedem acesso completo aos dados em diferentes aplicações, aumenta drasticamente o perigo de vazamento. Mesmo que possa ser principalmente inadvertido do lado dos programadores. Segundo a investigação da Symantec, 47% das aplicações avaliadas incluem tokens da AWS. Que não apenas concedem acesso aos ficheiros necessários para codificação, como aqueles numa área de nuvem privada. Mas também aos milhões de ficheiros mantidos pela Amazon (S3).

FONTE

Já deixou o seu like na nossa página do Facebook, no, Threads, do Instagram, do BlueSky e do X? Receba toda a informação em primeira mão. Siga-nos também no Google Notícias, basta seleccionar-nos entre os seus favoritos clicando na estrela.

Joel Pinto

Fundador do Noticias e Tecnologia, e este foi o seu segundo projeto online, depois de vários anos ligado a um portal voltado para o sistema Android, onde também foi um dos seus fundadores.