ESET identifica falhas de segurança nos aplicativos de rastreamento da Covid-19

Os aplicativos de rastreamento da Covid-19 – comumente chamados de “rastreadores Covid” – foram criados com a intenção de geolocalizar indivíduos que potencialmente carregam o vírus, buscando servir como ferramentas de diagnóstico precoce e também como fonte de estatísticas para os vários governos que os desenvolveram. Nesse contexto, a ESET, empresa de detecção proativa de ameaças, analisou os aplicativos Android mais relevantes relacionados à Covid-19, desenvolvidos pelas autoridades latino-americanas.

A ESET investigou 17 aplicações pertencentes a autoridades governamentais em países como Argentina, Bolívia, Brasil, Chile, Colômbia, Equador, Guatemala, México, Peru e Uruguai. Do número total de aplicativos analisados ​​- todos disponíveis na Play Store – 14 utilizaram o Firebase Realtime Database para armazenar dados.

A segurança dos bancos de dados do Firebase projetados para armazenar informações do usuário, que foram usadas por vários aplicativos de rastreamento de contatos em diferentes países, foi analisada, em alguns casos apresentando erros de configuração que afetavam a segurança e a privacidade dos dados.

No Laboratório de Pesquisa da ESET, foi detectado que dois desses aplicativos de rastreamento, ambas da Argentina e incentivadas por governos estaduais e municipais, estavam vulneráveis ​​a possíveis ataques, uma vez que se conectavam a bancos de dados públicos para processar dados privados, como nomes, sobrenomes, datas de nascimento, DNI (equivalente ao RG, no Brasil), e-mails, milhares de pontos de geolocalização (alguns diretamente associados a um usuário pontual), números de telefone e dados médicos de acompanhamento de pacientes (se realizaram um exame e se foram positivos) de mais de 6000 usuários. É importante ressaltar que as vulnerabilidades mencionadas anteriormente já foram corrigidas antes da publicação desta investigação.

O Firebase do Google é uma solução rápida para armazenar dados e enviar mensagens em aplicativos cliente-servidor. Os dados são salvos no formato JSON e podem ser consultados ou modificados por meio de uma API do tipo REST. Embora existam regras que podem ser conectadas em cascata para controlar o acesso a informações confidenciais, muitas vezes essas regras são mal definidas e permitem que um invasor recupere dados armazenados em diferentes níveis do caminho.

Para aprender a gerenciar a segurança no banco de dados em tempo real, a ESET compartilha o seguinte artigo (em espanhol): www.welivesecurity.com/la-es/2020/07/30/fallos-seguridad-apps-rastreo-covid-19-utilizan-firebase/

Encontrar bancos de dados vulneráveis ​​em apps mobile não é novidade. Um relatório publicado em maio de 2020 pela Comparitech constatou que 4,8% dos aplicativos que usam o Google Firebase não estão configurados corretamente, levando a possíveis vazamentos de informações. Os pesquisadores estimaram que 0,83% de todos os aplicativos publicados no Google Play expõem dados confidenciais por meio do Firebase, o que representaria aproximadamente um total de 24.000 aplicativos vulneráveis.

A boa notícia é que esse tipo de erro é completamente evitável. Só precisamos garantir que entendemos como a autenticação e a autorização funcionam no pacote Firebase, que informações queremos proteger e testar nossos bancos de dados em produção para garantir que eles não sejam suscetíveis a esse tipo de ataque. Na documentação da plataforma, podemos encontrar muitas informações sobre a maneira correta de configurar esses produtos, como artigos sobre configurações inseguras ou dicas de segurança“, diz Denise Giusto Bilic, analista de segurança da informação da ESET América Latina.

Na ESET, apostamos na educação como a medida mais importante de prevenção de ameaças. Manter os sistemas atualizados, alterar senhas com frequência, usar uma solução de segurança em desktops e dispositivos móveis, são algumas das ações que nos permitem aproveitar a Internet com segurança, finaliza.

Para te ajudar a ficar em casa

A ESET aderiu à campanha #FiqueEmCasa, oferecendo proteção para dispositivos e conteúdos que ajudam os usuários a aproveitar os dias em casa e garantir a segurança dos pequenos enquanto se divertem online em meio à pandemia.

No site, os usuários podem ter acesso a: ESET INTERNET SECURITY grátis por 3 meses para proteger todos os dispositivos domésticos, Guia de Teletrabalho, com práticas para trabalhar em casa sem riscos, Academia ESET, para acessar cursos online que auxiliam a tirar mais proveito da tecnologia e o DigiPais, para ler conselhos sobre como acompanhar e proteger crianças na web.

Para conhecer a mais nova solução em segurança para dispositivos Mac, acesse: www.eset.com/br/antivirus-domestico/cyber-security-pro

Para saber mais sobre segurança da informação, entre no portal de notícias da ESET: www.welivesecurity.com/br

Redação

Redação

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.