Tendências

Eset identifica falhas de segurança nos aplicativos de rastreamento da Covid-19

Após analisar os apps que usavam os bancos de dados do Firebase, a Eset revela que alguns deles expuseram dados de usuários particulares

Os aplicativos de rastreamento da Covid-19 – comumente chamados de “rastreadores Covid” – foram criados com a intenção de geolocalizar indivíduos que potencialmente carregam o vírus, buscando servir como ferramentas de diagnóstico precoce e também como fonte de estatísticas para os vários governos que os desenvolveram. Nesse contexto, a Eset, empresa que atua em detecção proativa de ameaças, analisou os aplicativos Android mais relevantes relacionados à Covid-19, desenvolvidos pelas autoridades latino-americanas.

A Eset investigou 17 aplicações pertencentes a autoridades governamentais em países como Argentina, Bolívia, Brasil, Chile, Colômbia, Equador, Guatemala, México, Peru e Uruguai. Do número total de aplicativos analisados ​​- todos disponíveis na Play Store – 14 utilizaram o Firebase Realtime Database para armazenar dados.

É importante ressaltar que as vulnerabilidades mencionadas anteriormente já foram corrigidas antes da publicação desta investigação  

A segurança dos bancos de dados do Firebase projetados para armazenar informações do usuário, que foram usadas por vários aplicativos de rastreamento de contatos em diferentes países, foi analisada, em alguns casos apresentando erros de configuração que afetavam a segurança e a privacidade dos dados.

No Laboratório de Pesquisa da Eset, foi detectado que dois desses aplicativos de rastreamento, ambasda Argentina e incentivadas por governos estaduais e municipais, estavam vulneráveis ​​a possíveis ataques, uma vez que se conectavam a bancos de dados públicos para processar dados privados, como nomes, sobrenomes, datas de nascimento, DNI (equivalente ao RG, no Brasil), e-mails, milhares de pontos de geolocalização (alguns diretamente associados a um usuário pontual), números de telefone e dados médicos de acompanhamento de pacientes (se realizaram um exame e se foram positivos) de mais de 6000 usuários. É importante ressaltar que as vulnerabilidades mencionadas anteriormente já foram corrigidas antes da publicação desta investigação.

O Firebase do Google é uma solução rápida para armazenar dados e enviar mensagens em aplicativos cliente-servidor. Os dados são salvos no formato JSON e podem ser consultados ou modificados por meio de uma API do tipo REST. Embora existam regras que podem ser conectadas em cascata para controlar o acesso a informações confidenciais, muitas vezes essas regras são mal definidas e permitem que um invasor recupere dados armazenados em diferentes níveis do caminho.

Para aprender a gerenciar a segurança no banco de dados em tempo real, a Eset compartilha o seguinte artigo (em espanhol): http://www.welivesecurity.com/la-es/2020/07/30/fallos-seguridad-apps-rastreo-covid-19-utilizan-firebase/

Encontrar bancos de dados vulneráveis ​​em apps mobile não é novidade. Um relatório publicado em maio de 2020 pela Comparitech constatou que 4,8% dos aplicativos que usam o Google Firebase não estão configurados corretamente, levando a possíveis vazamentos de informações. Os pesquisadores estimaram que 0,83% de todos os aplicativos publicados no Google Play expõem dados confidenciais por meio do Firebase, o que representaria aproximadamente um total de 24.000 aplicativos vulneráveis.

“A boa notícia é que esse tipo de erro é completamente evitável. Só precisamos garantir que entendemos como a autenticação e a autorização funcionam no pacote Firebase, que informações queremos proteger e testar nossos bancos de dados em produção para garantir que eles não sejam suscetíveis a esse tipo de ataque. Na documentação da plataforma, podemos encontrar muitas informações sobre a maneira correta de configurar esses produtos, como artigos sobre configurações inseguras ou dicas de segurança”, diz Denise Giusto Bilic, analista de segurança da informação da Eset América Latina.

“Na Eset, apostamos na educação como a medida mais importante de prevenção de ameaças. Manter os sistemas atualizados, alterar senhas com frequência, usar uma solução de segurança em desktops e dispositivos móveis, são algumas das ações que nos permitem aproveitar a Internet com segurança”, finaliza.

Para te ajudar a ficar em casa
A Eset   aderiu à campanha #FiqueEmCasa, oferecendo proteção para dispositivos e conteúdos que ajudam os usuários a aproveitar os dias em casa e garantir a segurança dos pequenos enquanto se divertem online em meio à pandemia.

No site, os usuários podem ter acesso a: Eset  Internet Security grátis por 3 meses para proteger todos os dispositivos domésticos, Guia de Teletrabalho, com práticas para trabalhar em casa sem riscos, Academia Eset, para acessar cursos online que auxiliam a tirar mais proveito da tecnologia e o DigiPais, para ler conselhos sobre como acompanhar e proteger crianças na web.

Serviço
www.eset.com/br/antivirus-domestico/cyber-security-pro
www.welivesecurity.com/br/
www.eset.com/br

Comentar

Clique aqui para comentar

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou quaisquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.

Assine a nossa Newsletter

e receba informações relevantes do mercado TIC

Seu e-mail foi cadastrado com sucesso!
Captcha obrigatório

Agenda & Eventos