Tecnologia

Estudo revela que apps na Google Play guardavam chaves de autenticação indevidamente

Descoberta vem de pesquisa feita por trio da Universidade de Columbia; tokens serviriam para acessar de contas no Facebook a nuvens privadas na Amazon

google (Getty Images)

google (Getty Images)

DR

Da Redação

Publicado em 20 de junho de 2014 às 11h31.

Um trio de pesquisadores da Universidade Columbia divulgou nesta semana um estudo (PDF) que traz informações preocupantes em relação à loja de aplicativos do Google no Android. Segundo a análise, feita com a ajuda de um sistema chamado PlayDrone, diversos apps distribuídos pela Play Store carregavam consigo chaves de autenticação que davam acesso a nuvens privadas da Amazon e a perfis de usuários no Twitter, no Facebook e em outros serviços.

De acordo com a GizMag e com a pesquisa, o “drone” (ou crawler, se preferir) utilizou técnicas diversas para checar Google Play, indexar e baixar cerca de 1,1 milhão de apps e decompilar mais de 800 mil deles. E foi justamente nos códigos-fonte que os cientistas encontraram as chaves: no do AirBnb, por exemplo, estavam tokens OAuth para contas no Facebook e Microsoft, entre outras.

Se usada em uma URL específica da rede social, como fizeram os pesquisadores para testar, a chave achada no app do serviço de viagem podia revelar e-mail e toda a lista de contatos de um usuário, entre outros dados. A conta usada no estudo, no entanto, não tinha dado permissão ao AirBnb para postar no mural, o que ao menos impediu que conteúdos fossem publicados ou modificados, nas palavras do texto da Ars Technica.

Outro segredo encontrado pelo PlayDrone durante a análise da Google Play foram os tokens de acesso a contas de desenvolvedores nos Amazon Web Services e outros serviços de nuvem. Foram achadas 308 dessas chaves, que, como é de se imaginar, deixariam um invasor à vontade para manusear dados e até gerenciar instâncias da nuvem elástica da Amazon, a EC2.

Com um pouco de imaginação, um criminoso poderia até mesmo criar uma botnet com máquinas da EC2 – o que certamente traria resultados desastrosos. Segundo a Ars, talvez como forma de evitar problemas, a própria Amazon não recomenda que desenvolvedores guardem os tokens como fizeram, e o mesmo é dito por Google, Facebook e Twitter. Mas, pelo jeito, nem todos deram ouvidos às recomendações.

Para a sorte de todos, os pesquisadores deram um exemplo de integridade e alertaram todas as partes sobre os problemas antes da publicação do estudo completo. E como os dados da análise se referem a junho do ano passado, é de se imaginar que as empresas tiveram bastante tempo para corrigir todas essas falhas de alguma forma.

A pesquisa dos cientistas de Columbia pode ser lida na íntegra aqui, em PDF. O texto está em inglês e é um pouco longo, mas vale também por outras descobertas feitas pelo trio – por exemplo, dos apps analisados pelo PlayDrone, a maioria (mais de 93 mil) se encaixa na categoria de personalização, que é seguida de perto pela de entretenimento (cerca de 89 mil).

Acompanhe tudo sobre:AndroidEmpresasEmpresas americanasEmpresas de internetempresas-de-tecnologiaGoogleINFOseguranca-digitalTecnologia da informação

Mais de Tecnologia

Musk pode comprar o canal MSNBC? Bilionário faz memes sobre possível aquisição

Influencers mirins: crianças vendem cursos em ambiente de pouca vigilância nas redes sociais

10 frases de Steve Jobs para inspirar sua carreira e negócios

Adeus, iPhone de botão? WhatsApp vai parar de funcionar em alguns smartphones; veja lista