A Apple se gaba, com alguma justiça, de ter o sistema operacional móvel mais seguro do mundo. Isso não significa que ele é perfeito: além das eventuais falhas encontradas no próprio cerne do sistema, usuários têm que confiar, também, na forma como outros desenvolvedores lidam com seus dados — e, pelo visto, uma quantidade razoável deles não está fazendo o dever de casa como deveria.
Uma pesquisa recente da Zimperium analisou mais de 1,3 milhão de apps para iOS e Android e chegou a uma conclusão preocupante: destes, 47 mil apps do ecossistema da Maçã e 84 mil do ecossistema do Google utilizam serviços de nuvem públicos, como o Amazon Web Services ou o Microsoft Azure, sem as configurações necessárias para proteger os dados de usuários.
De acordo com os achados dos pesquisadores, ao menos 14% dos apps analisados expõem ou já expuseram informações pessoais dos seus usuários, incluindo senhas, dados financeiros e de saúde — tudo porque as configurações empregadas pelos desenvolvedores permitem que invasores tenham acesso a esses dados ou mesmo os sobrescrevam, abrindo espaço para uma série de fraudes.
A solução ideal para contornar o problema é que cada app use uma estrutura de servidores própria para armazenar os dados dos usuários. Essa, claro, é uma opção inexequível para a maioria dos desenvolvedores, já que manter seus próprios servidores é muito mais caro e trabalhoso do que contratar os serviços de uma outra empresa; ainda assim, é possível implementar configurações específicas para proteger os dados dos usuários mesmo utilizando um serviço de nuvem externo, como o da Amazon ou o da Microsoft.
Serviços como o Amazon Web Services têm ferramentas para que os desenvolvedores chequem as configurações dos seus servidores e garantam a proteção dos dados lá armazenados, mas segundo o pesquisador Will Strafach (criador do aplicativo Guardian Firewall), a responsabilidade final precisa ser sempre do desenvolvedor:
Faz todo o sentido que esse problema da má configuração seja generalizado. Eu já vi buckets do Amazon Web Services com permissões incorretas e já vi vários nodes de VPN expondo dados. Vi também muitos apps de empresas que deveriam ter mais conhecimento na área com problemas horrorosos de segurança.
O relatório da Zimperium não chegou a revelar nomes, mas citou, entre os apps considerados inseguros, uma carteira digital de uma empresa que está na Fortune 500 e um app de transporte público de uma cidade grande, ambos expondo dados sensíveis dos seus usuários.
O objetivo dos pesquisadores, agora, é trazer o assunto à tona para que os desenvolvedores possam configurar seus apps de forma mais segura e privativa para os usuários. Uma análise mais técnica do tema, bem como dicas de como evitar a exposição de dados, pode ser lida no artigo da Zimperium. Os pesquisadores da empresa realizarão, também, um seminário virtual no dia 24 de março para falar mais sobre o tema — você pode registrar sua presença nessa página.
via 9to5Mac
