Brasil,

TOKIO MARINE SEGURADORA

ESET identifica falhas de segurança nos aplicativos de rastreamento da Covid-19

ESET identifica falhas de segurança nos aplicativos de rastreamento da Covid-19

Após analisar os apps que usavam os bancos de dados do Firebase, a ESET revela que alguns deles expuseram dados de usuários particulares

Os aplicativos de rastreamento da Covid-19 - comumente chamados de "rastreadores Covid" - foram criados com a intenção de geolocalizar indivíduos que potencialmente carregam o vírus, buscando servir como ferramentas de diagnóstico precoce e também como fonte de estatísticas para os vários governos que os desenvolveram. Nesse contexto, a ESET, empresa líder em detecção proativa de ameaças, analisou os aplicativos Android mais relevantes relacionados à Covid-19, desenvolvidos pelas autoridades latino-americanas.

A ESET investigou 17 aplicações pertencentes a autoridades governamentais em países como Argentina, Bolívia, Brasil, Chile, Colômbia, Equador, Guatemala, México, Peru e Uruguai. Do número total de aplicativos analisados ​​- todos disponíveis na Play Store - 14 utilizaram o Firebase Realtime Database para armazenar dados.

A segurança dos bancos de dados do Firebase projetados para armazenar informações do usuário, que foram usadas por vários aplicativos de rastreamento de contatos em diferentes países, foi analisada, em alguns casos apresentando erros de configuração que afetavam a segurança e a privacidade dos dados.

No Laboratório de Pesquisa da ESET, foi detectado que dois desses aplicativos de rastreamento, ambasda Argentina e incentivadas por governos estaduais e municipais, estavam vulneráveis ​​a possíveis ataques, uma vez que se conectavam a bancos de dados públicos para processar dados privados, como nomes, sobrenomes, datas de nascimento, DNI (equivalente ao RG, no Brasil), e-mails, milhares de pontos de geolocalização (alguns diretamente associados a um usuário pontual), números de telefone e dados médicos de acompanhamento de pacientes (se realizaram um exame e se foram positivos) de mais de 6000 usuários. É importante ressaltar que as vulnerabilidades mencionadas anteriormente já foram corrigidas antes da publicação desta investigação.

O Firebase do Google é uma solução rápida para armazenar dados e enviar mensagens em aplicativos cliente-servidor. Os dados são salvos no formato JSON e podem ser consultados ou modificados por meio de uma API do tipo REST. Embora existam regras que podem ser conectadas em cascata para controlar o acesso a informações confidenciais, muitas vezes essas regras são mal definidas e permitem que um invasor recupere dados armazenados em diferentes níveis do caminho.

Para aprender a gerenciar a segurança no banco de dados em tempo real, a ESET compartilha o seguinte artigo (em espanhol): http://www.welivesecurity.com/la-es/2020/07/30/fallos-seguridad-apps-rastreo-covid-19-utilizan-firebase/

Encontrar bancos de dados vulneráveis ​​em apps mobile não é novidade. Um relatório publicado em maio de 2020 pela Comparitech constatou que 4,8% dos aplicativos que usam o Google Firebase não estão configurados corretamente, levando a possíveis vazamentos de informações. Os pesquisadores estimaram que 0,83% de todos os aplicativos publicados no Google Play expõem dados confidenciais por meio do Firebase, o que representaria aproximadamente um total de 24.000 aplicativos vulneráveis.

"A boa notícia é que esse tipo de erro é completamente evitável. Só precisamos garantir que entendemos como a autenticação e a autorização funcionam no pacote Firebase, que informações queremos proteger e testar nossos bancos de dados em produção para garantir que eles não sejam suscetíveis a esse tipo de ataque. Na documentação da plataforma, podemos encontrar muitas informações sobre a maneira correta de configurar esses produtos, como artigos sobre configurações inseguras ou dicas de segurança", diz Denise Giusto Bilic, analista de segurança da informação da ESET América Latina.

"Na ESET, apostamos na educação como a medida mais importante de prevenção de ameaças. Manter os sistemas atualizados, alterar senhas com frequência, usar uma solução de segurança em desktops e dispositivos móveis, são algumas das ações que nos permitem aproveitar a Internet com segurança", finaliza.

Para te ajudar a ficar em casa

A ESET aderiu à campanha #FiqueEmCasa, oferecendo proteção para dispositivos e conteúdos que ajudam os usuários a aproveitar os dias em casa e garantir a segurança dos pequenos enquanto se divertem online em meio à pandemia.

No site, os usuários podem ter acesso a: ESET INTERNET SECURITY grátis por 3 meses para proteger todos os dispositivos domésticos, Guia de Teletrabalho, com práticas para trabalhar em casa sem riscos, Academia ESET, para acessar cursos online que auxiliam a tirar mais proveito da tecnologia e o DigiPais, para ler conselhos sobre como acompanhar e proteger crianças na web.

Para conhecer a mais nova solução em segurança para dispositivos Mac, acesse: http://www.eset.com/br/antivirus-domestico/cyber-security-pro/

Para saber mais sobre segurança da informação, entre no portal de notícias da ESET: http://www.welivesecurity.com/br/

Sobre a ESET

Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a aproveitar a tecnologia com segurança. Seu portfólio de soluções oferece às empresas e consumidores de todo o mundo um equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e possui escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite www.eset.com/br ou siga-nos no LinkedIn, Facebook e Twitter .

Copyright © 1992 - 2020. Todos os direitos reservados. ESET e NOD32 são marcas registradas da ESET. Outros nomes e marcas são marcas registradas de suas respectivas empresas.


Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 
https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

Adicionar comentário

Aja com responsabilidade, aos SEUS COMENTÁRIOS em Caso de Reclamação, nos reservamos o Direito, a qualquer momento de Mudar, Modificar, Adicionar, ou mesmo Suprimir os comentarios de qualquer um, a qualquer hora, sem aviso ou comunicado previo, leia todos os termos... CLIQUE AQUI E CONHEÇA TODOS OS TERMOS E CONDIÇÕES DE USO. - O Nosso muito obrigado - Ferramenta Automatizada...IMPORTANTE: COMENTÁRIOS com LINK são bloqueados automaticamente (COMMENTS with LINKS are automatically blocked.)...Sucesso!


voltar ao topo