92% dos Aplicativos Móveis Usam Métodos Criptográficos Inseguros
- Alex Rubituci
- 6 de jun.
- 2 min de leitura
Atualizado: 19 de jun.
92% dos Aplicativos Móveis Utilizam Métodos Criptográficos Inseguros
Uma nova análise de mais de 17.000 aplicativos móveis corporativos revelou falhas críticas de segurança que podem colocar milhões de usuários e empresas em risco.
Segundo o novo relatório da Zimperium, intitulado “Your Apps are Leaking: The Hidden Data Risks on your Phone” (Seus aplicativos estão vazando: os riscos ocultos de dados no seu celular), essas vulnerabilidades incluem:
Armazenamento em nuvem mal configurado
Credenciais embutidas no código
Práticas criptográficas ultrapassadas
O estudo mostra que aplicativos móveis usados em ambientes corporativos estão vazando informações sensíveis em uma taxa alarmante.
Foram analisados 17.333 aplicativos corporativos das lojas oficiais (6.037 para Android e 11.626 para iOS), revelando sérios problemas de segurança em ambos os ecossistemas.
🔍
Principais descobertas preocupantes
83 aplicativos Android usavam armazenamento em nuvem sem proteção ou mal configurado
10 aplicativos Android continham credenciais expostas da Amazon Web Services (AWS)
92% de todos os apps analisados utilizavam métodos criptográficos fracos ou com falhas
5 dos 100 apps mais populares tinham falhas graves, como chaves codificadas diretamente no app ou algoritmos desatualizados
Essas vulnerabilidades expõem dados tanto em trânsito quanto em repouso, deixando empresas sujeitas a:
Acesso não autorizado
Manipulação de dados
Extorsão sem necessidade de ataques tradicionais de ransomware
🗣️ “Configuração incorreta de nuvem e credenciais expostas é como deixar a porta da frente aberta e dizer que a casa está segura”, afirmou Boris Cipot, engenheiro sênior de segurança da Black Duck.
“É um convite aberto para atacantes roubarem dados explorando configurações descuidadas.”
💸
O custo da negligência
O aumento do uso de dispositivos móveis no ambiente corporativo — especialmente em ambientes BYOD (bring your own device, ou “traga seu próprio dispositivo”) — ampliou drasticamente a superfície de ataque para cibercriminosos.
Só em 2024, vazamentos de dados afetaram mais de 1,7 bilhão de pessoas, com prejuízos financeiros estimados em US$ 280 bilhões.
A integração com a nuvem, embora essencial para escalabilidade, introduz riscos quando APIs e SDKs não são implementados com segurança. Alguns aplicativos do top 100 da Google Play Store tinham diretórios de armazenamento públicos, facilitando ataques por meio de varreduras automáticas.
As falhas criptográficas agravam o risco. O uso de algoritmos ultrapassados como MD2 e geradores de números aleatórios inseguros compromete a eficácia até mesmo de dados criptografados.
🗣️ “A criptografia é a base da comunicação e armazenamento seguros”, disse Cipot.
“Se os algoritmos são falhos ou não há proteção, isso é extremamente alarmante.”
🛡️
O que as empresas podem fazer
Para enfrentar esses riscos, a Zimperium recomenda que as empresas:
Identifiquem e corrijam configurações incorretas na nuvem
Detectem e substituam credenciais e chaves de API expostas
Validem os métodos criptográficos usados e evitem algoritmos inseguros ou obsoletos
Monitorem SDKs de terceiros quanto a vulnerabilidades conhecidas
🗣️ “A adoção da nuvem abriu um enorme potencial para as organizações”, disse Rom Carmel, cofundador e CEO da Apono.
“Mas para manter a resiliência no cenário atual de ameaças, as equipes de segurança devem adotar uma estratégia de defesa em profundidade: eliminar acessos permanentes, aplicar o princípio do menor privilégio e limitar o que identidades comprometidas podem fazer.”
Comentários