Estudo revela que apps na Google Play guardavam chaves de autenticação indevidamente

Um trio de pesquisadores da Universidade Columbia divulgou nesta semana um estudo (PDF) que traz informações preocupantes em relação à loja de aplicativos do Google no Android. Segundo a análise, feita com a ajuda de um sistema chamado PlayDrone, diversos apps distribuídos pela Play Store carregavam consigo chaves de autenticação que davam acesso a nuvens privadas da Amazon e a perfis de usuários no Twitter, no Facebook e em outros serviços.

De acordo com a GizMag e com a pesquisa, o “drone” (ou crawler, se preferir) utilizou técnicas diversas para checar Google Play, indexar e baixar cerca de 1,1 milhão de apps e decompilar mais de 800 mil deles. E foi justamente nos códigos-fonte que os cientistas encontraram as chaves: no do AirBnb, por exemplo, estavam tokens OAuth para contas no Facebook e Microsoft, entre outras.

Se usada em uma URL específica da rede social, como fizeram os pesquisadores para testar, a chave achada no app do serviço de viagem podia revelar e-mail e toda a lista de contatos de um usuário, entre outros dados. A conta usada no estudo, no entanto, não tinha dado permissão ao AirBnb para postar no mural, o que ao menos impediu que conteúdos fossem publicados ou modificados, nas palavras do texto da Ars Technica.

Outro segredo encontrado pelo PlayDrone durante a análise da Google Play foram os tokens de acesso a contas de desenvolvedores nos Amazon Web Services e outros serviços de nuvem. Foram achadas 308 dessas chaves, que, como é de se imaginar, deixariam um invasor à vontade para manusear dados e até gerenciar instâncias da nuvem elástica da Amazon, a EC2.

Com um pouco de imaginação, um criminoso poderia até mesmo criar uma botnet com máquinas da EC2 – o que certamente traria resultados desastrosos. Segundo a Ars, talvez como forma de evitar problemas, a própria Amazon não recomenda que desenvolvedores guardem os tokens como fizeram, e o mesmo é dito por Google, Facebook e Twitter. Mas, pelo jeito, nem todos deram ouvidos às recomendações.

Para a sorte de todos, os pesquisadores deram um exemplo de integridade e alertaram todas as partes sobre os problemas antes da publicação do estudo completo. E como os dados da análise se referem a junho do ano passado, é de se imaginar que as empresas tiveram bastante tempo para corrigir todas essas falhas de alguma forma.

A pesquisa dos cientistas de Columbia pode ser lida na íntegra aqui, em PDF. O texto está em inglês e é um pouco longo, mas vale também por outras descobertas feitas pelo trio – por exemplo, dos apps analisados pelo PlayDrone, a maioria (mais de 93 mil) se encaixa na categoria de personalização, que é seguida de perto pela de entretenimento (cerca de 89 mil).