Estudo revela que apps na Google Play guardavam chaves de autenticação indevidamente
Descoberta vem de pesquisa feita por trio da Universidade de Columbia; tokens serviriam para acessar de contas no Facebook a nuvens privadas na Amazon
Da Redação
Publicado em 20 de junho de 2014 às 11h31.
Um trio de pesquisadores da Universidade Columbia divulgou nesta semana um estudo ( PDF ) que traz informações preocupantes em relação à loja de aplicativos do Google no Android. Segundo a análise, feita com a ajuda de um sistema chamado PlayDrone, diversos apps distribuídos pela Play Store carregavam consigo chaves de autenticação que davam acesso a nuvens privadas da Amazon e a perfis de usuários no Twitter, no Facebook e em outros serviços.
De acordo com a GizMag e com a pesquisa, o drone (ou crawler, se preferir) utilizou técnicas diversas para checar Google Play, indexar e baixar cerca de 1,1 milhão de apps e decompilar mais de 800 mil deles. E foi justamente nos códigos-fonte que os cientistas encontraram as chaves: no do AirBnb, por exemplo, estavam tokens OAuth para contas no Facebook e Microsoft, entre outras.
Se usada em uma URL específica da rede social, como fizeram os pesquisadores para testar, a chave achada no app do serviço de viagem podia revelar e-mail e toda a lista de contatos de um usuário, entre outros dados. A conta usada no estudo, no entanto, não tinha dado permissão ao AirBnb para postar no mural, o que ao menos impediu que conteúdos fossem publicados ou modificados, nas palavras do texto da Ars Technica.
Outro segredo encontrado pelo PlayDrone durante a análise da Google Play foram os tokens de acesso a contas de desenvolvedores nos Amazon Web Services e outros serviços de nuvem. Foram achadas 308 dessas chaves, que, como é de se imaginar, deixariam um invasor à vontade para manusear dados e até gerenciar instâncias da nuvem elástica da Amazon, a EC2.
Com um pouco de imaginação, um criminoso poderia até mesmo criar uma botnet com máquinas da EC2 o que certamente traria resultados desastrosos. Segundo a Ars, talvez como forma de evitar problemas, a própria Amazon não recomenda que desenvolvedores guardem os tokens como fizeram, e o mesmo é dito por Google, Facebook e Twitter. Mas, pelo jeito, nem todos deram ouvidos às recomendações.
Para a sorte de todos, os pesquisadores deram um exemplo de integridade e alertaram todas as partes sobre os problemas antes da publicação do estudo completo. E como os dados da análise se referem a junho do ano passado, é de se imaginar que as empresas tiveram bastante tempo para corrigir todas essas falhas de alguma forma.
A pesquisa dos cientistas de Columbia pode ser lida na íntegra aqui, em PDF. O texto está em inglês e é um pouco longo, mas vale também por outras descobertas feitas pelo trio por exemplo, dos apps analisados pelo PlayDrone, a maioria (mais de 93 mil) se encaixa na categoria de personalização, que é seguida de perto pela de entretenimento (cerca de 89 mil).