Falhas de Segurança em Apps Populares Colocam Usuários em Risco – Veja Como Credenciais Expostas Podem Afetar Você

Uma análise recente revelou que milhões de usuários de Android e iOS estão vulneráveis devido a falhas graves em apps populares, que deixaram informações de acesso a serviços na nuvem expostas no próprio código dos aplicativos. Isso inclui chaves de acesso e segredos de serviços como Azure, AWS e Twilio, usados por apps de edição de vídeo, táxi, terapias de som e redes de negócios, entre outros. Segundo engenheiros da Symantec, Yuanjing Guo e Tommy Dong, essa prática resulta de "preguiça de codificação" e representa um grande risco de segurança, pois qualquer pessoa com acesso ao código-fonte ou ao binário do app pode explorar essas credenciais para acessar infraestruturas de backend e até extrair dados dos usuários.

Entre os apps afetados, o Pic Stitch e o Crumbl incluem chaves da AWS em texto aberto, permitindo que invasores acessem diretamente os recursos de armazenamento e manipulem dados como se fossem desenvolvedores legítimos. Outros apps, como o Eureka e o Videoshop, também foram encontrados com informações de segurança em texto puro, o que facilita o roubo de dados e até a derrubada dos serviços. No caso do Meru Cabs, por exemplo, as credenciais do Azure expostas permitiriam o acesso a containers de armazenamento na nuvem, comprometendo a segurança dos usuários desse app de táxi indiano.

Esse problema destaca o risco de não usar práticas adequadas de segurança, como o uso de gerenciadores de segredos, que protegem informações sensíveis longe do código-fonte. A inclusão de credenciais sensíveis em texto aberto não só expõe as empresas a invasões, como também coloca em risco informações pessoais dos usuários, como seus dados de login e histórico de uso dos aplicativos.

Os especialistas da Symantec recomendam que os desenvolvedores passem a adotar ferramentas seguras para armazenamento de segredos, como o AWS Secrets Manager e o Azure Key Vault, que protegem credenciais sensíveis fora do código dos apps. Além disso, práticas como a criptografia e revisões regulares de segurança do código podem ajudar a identificar falhas antes que os apps sejam lançados no mercado.

Enquanto esses problemas não são corrigidos, os usuários são orientados a adotar medidas de segurança por conta própria, como instalar sistemas de segurança de terceiros, evitar dar permissões excessivas aos apps e somente fazer downloads de fontes confiáveis. A Symantec, inclusive, oferece uma solução que promete bloquear consequências dessas falhas, mas o ideal seria que os desenvolvedores aprimorassem a segurança de seus aplicativos desde o início.

Para te ajudar, segue lista de aplicativos comprometidos:

• Pic Stitch: editor de colagens que expõe credenciais da AWS, permitindo acesso a buckets do S3.

• Crumbl: app de encomendas que expõe credenciais da AWS e uma URL de endpoint WebSocket, sem criptografia.

• Eureka: aplicativo de pesquisas com credenciais da AWS visíveis.

• Videoshop: editor de vídeo com credenciais da AWS que podem ser acessadas por terceiros.

• Meru Cabs: app de táxi na Índia com credenciais da Azure embutidas.

• Sulekha Business: app de geração de leads com várias credenciais da Azure expostas.

• ReSound Tinnitus Relief e Beltone Tinnitus Calmer: apps de terapia sonora que expõem credenciais de armazenamento Azure.

• EatSleepRIDE Motorcycle GPS: fórum que contém credenciais da Twilio.

Essa situação reflete uma necessidade urgente de mudança nas práticas de desenvolvimento, especialmente em plataformas móveis, onde as vulnerabilidades podem facilmente se espalhar entre milhões de usuários.