0
0
Após analisar os apps que usavam os bancos de dados do Firebase, a ESET revela que alguns deles expuseram dados de usuários particulares
Os aplicativos de rastreamento da Covid-19 – comumente chamados de “rastreadores Covid” – foram criados com a intenção de geolocalizar indivíduos que potencialmente carregam o vírus, buscando servir como ferramentas de diagnóstico precoce e também como fonte de estatísticas para os vários governos que os desenvolveram. Nesse contexto, a ESET analisou os aplicativos Android mais relevantes relacionados à Covid-19, desenvolvidos pelas autoridades latino-americanas.
Foram investigadas 17 aplicações pertencentes a autoridades governamentais em países como Argentina, Bolívia, Brasil, Chile, Colômbia, Equador, Guatemala, México, Peru e Uruguai. Do número total de aplicativos analisados – todos disponíveis na Play Store – 14 utilizaram o Firebase Realtime Database para armazenar dados.
A segurança dos bancos de dados do Firebase projetados para armazenar informações do usuário, que foram usadas por vários aplicativos de rastreamento de contatos em diferentes países, foi analisada, em alguns casos apresentando erros de configuração que afetavam a segurança e a privacidade dos dados.
No Laboratório de Pesquisa da ESET foi detectado que dois desses aplicativos de rastreamento, ambasda Argentina e incentivadas por governos estaduais e municipais, estavam vulneráveis a possíveis ataques, uma vez que se conectavam a bancos de dados públicos para processar dados privados, como nomes, sobrenomes, datas de nascimento, DNI (equivalente ao RG, no Brasil), e-mails, milhares de pontos de geolocalização (alguns diretamente associados a um usuário pontual), números de telefone e dados médicos de acompanhamento de pacientes (se realizaram um exame e se foram positivos) de mais de 6000 usuários. É importante ressaltar que as vulnerabilidades mencionadas anteriormente já foram corrigidas antes da publicação desta investigação.
O Firebase do Google é uma solução rápida para armazenar dados e enviar mensagens em aplicativos cliente-servidor. Os dados são salvos no formato JSON e podem ser consultados ou modificados por meio de uma API do tipo REST. Embora existam regras que podem ser conectadas em cascata para controlar o acesso a informações confidenciais, muitas vezes essas regras são mal definidas e permitem que um invasor recupere dados armazenados em diferentes níveis do caminho.
FONTE: IP NEWS