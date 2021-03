A Apple se gaba, com alguma justiça, de ter o sistema operacional móvel mais seguro do mundo. Isso não significa que ele é perfeito: além das eventuais falhas encontradas no próprio cerne do sistema, usuários têm que confiar, também, na forma como outros desenvolvedores lidam com seus dados — e, pelo visto, uma quantidade razoável deles não está fazendo o dever de casa como deveria.

Uma pesquisa recente da Zimperium analisou mais de 1,3 milhão de apps para iOS e Android e chegou a uma conclusão preocupante: destes, 47 mil apps do ecossistema da Maçã e 84 mil do ecossistema do Google utilizam serviços de nuvem públicos, como o Amazon Web Services ou o Microsoft Azure, sem as configurações necessárias para proteger os dados de usuários.

De acordo com os achados dos pesquisadores, ao menos 14% dos apps analisados expõem ou já expuseram informações pessoais dos seus usuários, incluindo senhas, dados financeiros e de saúde — tudo porque as configurações empregadas pelos desenvolvedores permitem que invasores tenham acesso a esses dados ou mesmo os sobrescrevam, abrindo espaço para uma série de fraudes.

A solução ideal para contornar o problema é que cada app use uma estrutura de servidores própria para armazenar os dados dos usuários. Essa, claro, é uma opção inexequível para a maioria dos desenvolvedores, já que manter seus próprios servidores é muito mais caro e trabalhoso do que contratar os serviços de uma outra empresa; ainda assim, é possível implementar configurações específicas para proteger os dados dos usuários mesmo utilizando um serviço de nuvem externo, como o da Amazon ou o da Microsoft.

Serviços como o Amazon Web Services têm ferramentas para que os desenvolvedores chequem as configurações dos seus servidores e garantam a proteção dos dados lá armazenados, mas segundo o pesquisador Will Strafach (criador do aplicativo Guardian Firewall), a responsabilidade final precisa ser sempre do desenvolvedor:

Faz todo o sentido que esse problema da má configuração seja generalizado. Eu já vi buckets do Amazon Web Services com permissões incorretas e já vi vários nodes de VPN expondo dados. Vi também muitos apps de empresas que deveriam ter mais conhecimento na área com problemas horrorosos de segurança.

O relatório da Zimperium não chegou a revelar nomes, mas citou, entre os apps considerados inseguros, uma carteira digital de uma empresa que está na Fortune 500 e um app de transporte público de uma cidade grande, ambos expondo dados sensíveis dos seus usuários.

O objetivo dos pesquisadores, agora, é trazer o assunto à tona para que os desenvolvedores possam configurar seus apps de forma mais segura e privativa para os usuários. Uma análise mais técnica do tema, bem como dicas de como evitar a exposição de dados, pode ser lida no artigo da Zimperium. Os pesquisadores da empresa realizarão, também, um seminário virtual no dia 24 de março para falar mais sobre o tema — você pode registrar sua presença nessa página.

via 9to5Mac