Novo
Agora IDGNow! é IT Midia.com
Fazer login no IT Mídia Redefinir senha
Bem-vindo de volta,
Digite seu e-mail e clique em enviar
Ainda não tem uma conta? Cadastre-se
Logo ITMidia
Logo ComputerWorld
Logo PCWorld
Logo CIO
Logo ITForum
Salvar em Nova pasta de favoritos

+

Criar pasta
Últimos favoritos Ver todos
Últimas notícias do conteúdo : Ver todos
Apps de relacionamento ignoram criptografia e põem em risco dados de usuários
Apps de relacionamento ignoram criptografia e põem em risco dados de usuários
Home > Internet

Apps de relacionamento ignoram criptografia e põem em risco dados de usuários

Segundo Kaspersky Lab, apps usam protocolo não seguro e, ao dispor SDKs de publicidade a terceiros, facilitam brechas de segurança

Da Redação

19/04/2018 às 21h23

iphones-fundo-preto.jpg
Foto:

Durante a análise de alguns aplicativos de encontros, a Kaspersky Lab descobriu que alguns apps transmitem dados de usuários sem criptografia, usando um protocolo HTTP (sem o “S”) não seguro. Sendo assim, a prática expõe ao risco de vazamento de dados.

Alguns usam SDKs de publicidade de terceiros, que fazem parte das várias redes de publicidade mais populares. Os aplicativos envolvidos já foram instalados bilhões de vezes no mundo todo, e uma falha grave significa que dados particulares podem ser interceptados, modificados e usados em futuros ataques, fazendo vítimas.

“A escala que, inicialmente pensamos ser apenas alguns casos específicos de design de aplicativo negligenciados, é esmagadora. Milhões de aplicativos incluem SDKs de terceiros, expondo dados privados que podem ser facilmente interceptados e modificados – levando a infecções por malware, chantagens e outros vetores de ataque altamente eficazes em seus dispositivos”, declarou Roman Unuchek, pesquisador de segurança da Kaspersky Lab.

O SDK é um conjunto de ferramentas de desenvolvimento, muitas vezes distribuído gratuitamente, que permite que os autores se concentrem nos elementos principais do aplicativo, confiando outros recursos aos SDKs prontos para uso, economizando tempo.

SDKs sem criptografia

Os SDKs de publicidade, por exemplo, coletam dados de usuários para mostrar anúncios relevantes e, assim, ajudar os desenvolvedores a ganhar dinheiro com seu produto. Mas uma análise mais profunda dos aplicativos mostrou que os dados são enviados sem criptografia, o que significa que está desprotegido na transmissão aos servidores.

A ausência de criptografia sugere que os dados podem ser interceptados por qualquer pessoa – por meio de Wi-Fi desprotegido, pelo provedor de serviços de Internet ou por meio de malware em um roteador doméstico. Os dados também podem ser modificados, o que significa que o aplicativo mostrará anúncios maliciosos em vez dos legítimos. Os usuários serão atraídos para baixar um aplicativo promovido, que pode acabar sendo um malware.

Os pesquisadores da Kaspersky Lab examinaram os logs e o tráfego de rede dos aplicativos na Sandbox interna do Android para descobrir quais aplicativos transmitem dados de usuário não criptografados para as redes via HTTP. Foram identificados vários domínios importantes, sendo que a maioria deles faz parte de redes de publicidade conhecidas. O número de aplicativos que usam esses SDKs totaliza vários milhões e a maioria transmite, pelo menos, um dos seguintes dados sem criptografá-los com HTTPs:

  • nome, idade e sexo do usuário (podem incluir até a renda do usuário), números de telefone e endereços de e-mail também podem vazar;
  • informações do aparelho como fabricante, modelo, tela, sistema e nome do aplicativo;
  • Localização do dispositivo;

Evite ter seus dados pessoais acessados

A Kaspersky Lab recomenda que os usuários adotem estas medidas:

Verifique as permissões de seus aplicativos. Só permita o acesso de recursos quando você entender o motivo. A maioria dos aplicativos não precisa acessar sua localização, por exemplo, então não essa dê permissão;

Use uma rede privada virtual (VPN). Elas encriptam o tráfego de rede entre o seu dispositivo e os servidores. No entanto, eles continuarão não sendo encriptados atrás dos servidores da VPN, mas pelo menos o risco de vazamento durante o processo é reduzido.

 

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail
Vai um cookie?

A IT Mídia usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Para mais detalhes veja nossa Política de Privacidade.

Este anúncio desaparecerá em:

Ir para o site