Segurança Cibernética

Android: fazer backup dos seus dados é a mesma coisa do que torná-los públicos? Neste caso, sim!

Lisandro Carmona de Souza, 16 Janeiro 2015

Android: fazer backup dos seus dados é a mesma coisa do que torná-los públicos? Neste caso, sim!

Você perdeu alguns contatos do seu celular? Você pode encontrá-los na nuvem. Em um lugar de acesso público! 1playstore photo

Sério.

Se você se preocupa com a sua privacidade, deve sempre suspeitar de soluções de “backup na nuvem” que você encontra na loja Google Play Store. O aplicativo Cloud Backup Contacts faz backups online dos seus contatos pessoais e eles se tornam públicos.

Depois de abrir o aplicativo, você verá uma tela onde pode informar o seu número de telefone e escolher uma senha. Depois você pode enviar os seus contatos para a nuvem.

2app

Uma rápida análise do aplicativo mostra-nos como ele exatamente faz o backup dos seus contatos na nuvem. Os contatos são associados com o número do telefone que você forneceu na etapa anterior e enviados através de pedidos HTTP POST em uma página PHP.

3savedatacloud

Uma análise mais profunda do tráfego capturado pelo Fiddler ajuda-nos a desvendar os resultados das figuras acima: uma página online, onde qualquer um pode ver, contém centenas de números de telefones e senhas não criptografados. Utilizando a informação do aplicativo, você pode obter dados pessoais privados (contatos) de qualquer outro usuário.

4fiddlerinfo 5datafromserver

Encontramos informações de países como o Brasil, Grécia e outros

A página deste aplicativo na Google Play Store diz que este aplicativo foi instalado 50.000-100.000 vezes. É um número muito grande de instalações para um aplicativo que não segue as práticas básicas de segurança do Android. O desenvolvedor deveria utilizar tecnologias como o HTTPS, o SSL e criptografia dos dados a serem transmitidos através da internet e também no armazenamento no servidor. O Nogotofail é uma ferramenta de teste de segurança de rede muito útil que foi criada pelo Google "para ajudar os desenvolvedores e pesquisadores de segurança a descobrir e corrigir conexões TLS/SSL frágeis e tráfego de dados privados em formato de texto aberto em aparelhos e aplicativos, tudo isto de uma forma flexível, escalonável e poderosa"

6appinfoplaystoreReportamos ao Google a situação deste aplicativo.

O Avast detecta este aplicativo como Android:DataExposed-B [PUP].

SHA-256 das amostras:
F51803FD98C727F93E502C13C9A5FD759031CD2A5B5EF8FE71211A0AE7DEC78C 199DD6F3B452247FBCC7B467CB88C6B0486194BD3BA01586355BC32EFFE37FAB

Mais de 200 milhões de pessoas e negócios confiam nos aplicativos de segurança da Avast Software para Windows, Mac e Android. Por favor, siga-nos no Facebook, Twitter e Google+.