Como fazer uma checagem de segurança no AndroidComo proteger meu celular de invasões?
A brecha, mais especificamente, está relacionada a chaves de API de uma plataforma chamada Algolia, que unifica serviços de recomendação e descoberta de conteúdo em diferentes mecanismos de busca e serviços online. A tecnologia é utilizada por mais de 11 mil empresas de todo o mundo, enquanto a lista específica de aplicações não foi revelada de forma a evitar ataques direcionados. Por outro lado, os detalhes técnicos foram revelados pela empresa de segurança digital CloudSEK, que divulgou o alerta. De acordo com ela, a plataforma Algolia utiliza cinco tipos diferentes de chaves de API, sendo que apenas uma, relacionada aos mecanismos de pesquisa, deve estar disponível publicamente, no código-fonte das aplicações. Entretanto, o levantamento dos especialistas revelou que pelo menos 32 aplicativos estão expondo chaves de administração em meio à sua programação, com direito a 57 credenciais únicas dos responsáveis pelos softwares. Neste caso, o acesso poderia ser abusado para dar acesso a painéis de controle e gerenciamento, alterando registros dos usuários, configurações e expondo informações potencialmente sensíveis. Com as outras, relacionadas a análise de dados, monitoramento e utilização dos apps, atacantes seriam capazes de acessar e buscar dados dos usuários, também levando a um possível vazamento de registros que deveriam ser sigilosos. Quando se olha o caráter dos aplicativos atingidos, tais problemas ganham um adicional de gravidade, independente da característica do acesso que poderia ser realizado por um cibercriminoso. Tal noção ganha ainda mais força com a ideia de que, no caso dos 32 aplicativos que expõem chaves de administração, o total somado de downloads ultrapassa a marca dos 3,2 milhões, enquanto alguns, individualmente, chegam a 1 milhão. Segundo a CloudSEK, o segmento de compras online é o mais atingido por este problema, representando, sozinho, 2,3 milhões de instalações vulneráveis. Como dito, a lista de aplicativos cujas brechas foram identificadas pelos especialistas não foi divulgada, como forma de evitar golpes direcionados e chamar a atenção dos bandidos para o problema. Segundo a CloudSEK, todos os desenvolvedores foram notificados sobre a questão durante a composição do relatório, mas nenhum deu retorno sobre possíveis correções ou o desenvolvimento de atualizações. Fonte: Bleeping Computer