Apps da Baidu podem ter exposto dados de mais de 1 bilhão de usuários

Dois aplicativos da gigante chinesa Baidu foram banidos da Google Play Store em outubro após serem flagrados expondo dados identificáveis dos smartphones dos usuários. Os softwares de busca e mapas da empresa estavam enviando informações dos usuários, sem nenhum tipo de proteção, a servidores localizados no país asiático, em uma brecha de segurança que pode ter afetado toda a base de mais de 1,4 bilhão de usuários em todo o mundo.

• Como saber se estou sendo espionado no WhatsApp Web?
• Dados de mais de 150 mil usuários do Facebook são comprometidos em golpe global
• Cuidado! Golpes de phishing aumentam em 80% com a proximidade da Black Friday

As informações não continham dados pessoais ou a identidade dos usuários, mas sim dos aparelhos usados por eles. Informações como o modelo, características e modo de conectividade eram compartilhadas, assim como o endereço MAC, identificação exclusiva do dispositivo, e número IMSI, ligado ao chip usado no smartphone, poderiam ser interceptadas por terceiros e levarem a ações e golpes contra os clientes de telefonia.

O alerta foi feito pelos pesquisadores da Unit42, centro de pesquisas em segurança digital da Palo Alto Networks. De acordo com os especialistas, por mais que informações pessoais não tenham vazado, a exposição encontrada é igualmente sensível e poderia levar a operações de espionagem e interceptação de dados. Além disso, a brecha permitiria que as vítimas fossem vigiadas mesmo após a troca de celular, já que o número IMSI permanece caso o usuário coloque o chip em um novo dispositivo.

Os dados pessoais, íntimos e sigilosos das vítimas poderiam ser obtido a partir da exploração dessa conectividade entre aparelhos, cartões SIM e a rede de telefonia celular, que também poderia levar ao redirecionamento de ligações, possibilitando golpes de engenharia social. Além disso, de acordo com a Unit42, o comportamento do kit de desenvolvimento dos apps do Baidu responsáveis pela exposição era semelhante ao de malwares e sistemas maliciosos voltados à extração de informações confidenciais a partir de redes ou aparelhos.

A descoberta da exposição foi feita a partir das versões dos aplicativos disponíveis na Play Store. Apesar de não existirem indícios de exploração maliciosa dos dados expostos, tanto Baidu quanto Google foram notificados sobre o problema, o que levou ao banimento dos softwares da loja online do Android. A responsável pela loja online disse ter encontrado violações adicionais às reportadas pelos pesquisadores, o que levou à remoção das aplicações no dia 28 de outubro.

O compartilhamento de informações como as citadas não é, necessariamente, uma violação das políticas de segurança e privacidade da Play Store, apesar de serem citadas em guias de melhores práticas como algo a ser evitado. Sendo assim, por si só, não seriam responsáveis pelo banimento das aplicações; o Google não informou exatamente quais foram os motivos para a retirada dos softwares, que permaneceram funcionando apenas nos celulares dos usuários que já os haviam baixado anteriormente.

Já o Baidu disse, ao ser informado sobre a brecha. que analisaria o caso e trabalharia para garantir que os aplicativos cumprissem as regras. Isso, aparentemente, foi feito, já que tanto o app de pesquisas quanto de mapas da companhia retornaram à Play Store nesta semana. A empresa, por outro lado, negou que os softwares geravam exposição de dados, já que o compartilhamento de tais informações é citada nos termos de uso da plataforma, fazendo parte do sistema de notificações push das soluções.

Em comunicado, a companhia disse levar a privacidade de seus usuários a sério e, mesmo não enxergando problemas de segurança, trabalhou na questão para que os apontamentos feitos pela Unit42 não existissem mais no retorno do Baidu Search e Maps para a Play Store. A companhia não quis falar sobre o banimento em si, afirmando apenas ter seguido à risca todas as normas da loja online do Google.

Fonte: Unit 42 (Palo Alto Networks)