Analistas identificam aplicativos populares para iOS e Android com credenciais de serviços em nuvem embutidas no código

Uma análise de apps nas lojas Google Play e Apple App Store revela que muitos contêm credenciais de acesso a serviços em nuvem diretamente no código, sem criptografia, expondo milhões de usuários a riscos de segurança. Segundo uma empresa de segurança, essa prática de embutir credenciais no código constitui uma falha de desenvolvimento que permite a qualquer pessoa com acesso ao código ou binário do aplicativo acessar a infraestrutura de backend e, possivelmente, roubar dados de usuários.

Para os usuários, recomenda-se a instalação de sistemas de segurança de terceiros e atenção às permissões solicitadas pelos apps. Para os desenvolvedores, a recomendação é adotar ferramentas de gerenciamento de credenciais, como o AWS Secrets Manager ou Azure Key Vault, criptografar dados e realizar revisões regulares de código e testes de segurança.

Os aplicativos identificados são:

• Pic Stitch: editor de colagens que expõe credenciais da AWS, permitindo acesso a buckets do S3.
• Crumbl: app de encomendas que expõe credenciais da AWS e uma URL de endpoint WebSocket, sem criptografia.
• Eureka: aplicativo de pesquisas com credenciais da AWS visíveis.
• Videoshop: editor de vídeo com credenciais da AWS que podem ser acessadas por terceiros.
• Meru Cabs: app de táxi na Índia com credenciais da Azure embutidas.
• Sulekha Business: app de geração de leads com várias credenciais da Azure expostas.
• ReSound Tinnitus Relief e Beltone Tinnitus Calmer: apps de terapia sonora que expõem credenciais de armazenamento Azure.
• EatSleepRIDE Motorcycle GPS: fórum que contém credenciais da Twilio.