Início Notícias Milhares de aplicativos para iPhone expõem dados dentro da Apple App Retailer

Milhares de aplicativos para iPhone expõem dados dentro da Apple App Retailer

Por
Carvalho Goncalves
-
13
0

NOVOAgora você pode ouvir os artigos da Fox Information!

A Apple frequentemente promove a App Retailer como um native seguro para baixar aplicativos. A empresa destaca revisões rigorosas e um sistema fechado como principais proteções para usuários do iPhone. Essa reputação enfrenta agora sérias questões.

Uma nova pesquisa mostra que milhares de aplicativos iOS aprovados pela Apple contêm falhas de segurança ocultas. Essas falhas podem expor dados de usuários, armazenamento em nuvem e até sistemas de pagamento.

O problema não é malware; são práticas de segurança inadequadas incorporadas diretamente no código do aplicativo.

Inscreva-se para receber meu relatório CyberGuy GRATUITO
Receba minhas melhores dicas técnicas, alertas de segurança urgentes e ofertas exclusivas diretamente em sua caixa de entrada. Além disso, você terá acesso instantâneo ao meu Final Rip-off Survival Information – gratuitamente ao ingressar no meu CYBERGUY.COM boletim informativo.

APPLE AVISA QUE MILHÕES DE IPHONES ESTÃO EXPOSTOS A ATAQUES

Os pesquisadores da Cybernews descobriram que muitos aplicativos iOS armazenam segredos confidenciais diretamente nos arquivos do aplicativo, onde podem ser facilmente extraídos. (Kurt “CyberGuy” Knutsson)

O que os pesquisadores descobriram nos aplicativos iOS

Pesquisadores de segurança da Cybernews, uma empresa de pesquisa de segurança cibernética, analisaram o código de mais de 156 mil aplicativos para iPhone. Isso representa cerca de 8% de todos os aplicativos disponíveis em todo o mundo.

Aqui está o que eles encontraram:

  • Mais de 815.000 segredos ocultos no código do aplicativo
  • Uma média de cinco segredos por aplicativo
  • 71% dos aplicativos vazaram pelo menos um segredo

Esses segredos incluem senhas, chaves de API e tokens de acesso. Os desenvolvedores os colocam diretamente dentro dos aplicativos, onde qualquer pessoa pode extraí-los. De acordo com Aras Nazarovas, pesquisador da Cybernews, isso torna o trabalho dos invasores muito mais fácil do que a maioria dos usuários imagina.

O que são segredos codificados em termos simples?

Um segredo codificado são informações confidenciais salvas diretamente dentro de um aplicativo, em vez de serem protegidas em um servidor seguro. Pense nisso como escrever o PIN do seu banco no verso do seu cartão de débito. Depois que alguém baixa o aplicativo, ele pode inspecionar seus arquivos e extrair esses segredos. Os invasores não precisam de acesso especial ou ferramentas avançadas de hacking. Tanto a Agência de Segurança Cibernética e de Infraestrutura quanto o Federal Bureau of Investigation alertam os desenvolvedores para não fazerem isso. No entanto, isso está acontecendo em grande escala.

Vazamentos de armazenamento em nuvem expuseram grandes quantidades de dados

Um dos problemas mais sérios envolve o armazenamento em nuvem. Mais de 78.000 aplicativos iOS continham hyperlinks diretos para depósitos de armazenamento em nuvem. Esses buckets armazenam arquivos como fotos, documentos, recibos e backups. Em alguns casos, nenhuma senha foi necessária. Os pesquisadores descobriram:

  • 836 baldes de armazenamento estão totalmente abertos ao público
  • Mais de 76 bilhões de arquivos expostos
  • Mais de 406 terabytes de dados vazados

Esses dados incluíam uploads de usuários, detalhes de registro, registros de aplicativos e registros privados. Qualquer pessoa que soubesse onde procurar poderia visualizá-lo ou baixá-lo.

APPLE CORRE DUAS FALHAS DE DIA ZERO USADAS EM ATAQUES ALVO

Um gráfico de barras dos 20 principais segredos vazados em aplicativos iOS

Este gráfico mostra os tipos mais comuns de segredos codificados encontrados em aplicativos iOS, com chaves relacionadas ao Google aparecendo com mais frequência, de acordo com a pesquisa da Cybernews. (Notícias cibernéticas)

Os bancos de dados Firebase também foram deixados abertos

Muitos aplicativos iOS dependem do Google Firebase para armazenar dados do usuário. A Cybernews encontrou mais de 51.000 hyperlinks de bancos de dados do Firebase ocultos no código do aplicativo. Embora alguns estivessem protegidos, mais de 2.200 não tinham autenticação. Isso expôs:

  • Quase 20 milhões de registros de usuários
  • Mensagens, perfis e registros de atividades
  • Bancos de dados hospedados principalmente nos EUA

Se um banco de dados Firebase não estiver bloqueado, os invasores poderão navegar nos dados do usuário como um website público.

Os sistemas de pagamento e login também estavam em risco

Alguns dos segredos vazados eram muito mais perigosos do que análises ou anúncios. Os pesquisadores descobriram chaves secretas para:

  • Stripe, que lida com pagamentos e reembolsos
  • Sistemas de autenticação JWT que controlam logins
  • Ferramentas de gerenciamento de pedidos usadas por aplicativos de compras

Uma chave secreta vazada do Stripe pode permitir que invasores emitam reembolsos, movam dinheiro ou acessem detalhes de cobrança. Chaves de login vazadas podem permitir que invasores se façam passar por usuários ou assumam o controle de contas.

IA e aplicativos sociais estavam entre os piores infratores

Alguns dos apps com maiores vazamentos estavam relacionados à inteligência synthetic. De acordo com o VX Underground, a empresa de segurança CovertLabs identificou 198 aplicativos iOS vazando dados de usuários. O pior caso conhecido foi o Chat & Ask AI da Codeway. Os pesquisadores dizem que expôs históricos de bate-papo, números de telefone e endereços de e-mail vinculados a milhões de usuários. Outro aplicativo, o YPT – Examine Group, supostamente vazou mensagens, IDs de usuários e tokens de acesso. CovertLabs rastreia esses incidentes em um repositório restrito chamado Firehound. A lista completa de aplicativos afetados não foi divulgada publicamente, e os pesquisadores dizem que os dados são limitados para evitar maior exposição e para dar aos desenvolvedores tempo para corrigir falhas de segurança.

EXTENSÕES MALICIOSAS DO GOOGLE CHROME SEQUESTRAM CONTAS

Linhas de código que podem conter informações confidenciais

Este exemplo mostra como chaves confidenciais, como credenciais de API do Google e segredos de pagamento Stripe, podem ser armazenadas diretamente nos arquivos de um aplicativo iOS, onde são fáceis de extrair. (Notícias cibernéticas)

Por que a análise do aplicativo da Apple pode ignorar riscos de segurança ocultos

A Apple analisa os aplicativos antes que eles apareçam na App Retailer. No entanto, o processo de revisão não verifica o código do aplicativo em busca de segredos ocultos. Se um aplicativo se comportar normalmente durante o teste, ele poderá passar na revisão mesmo que chaves confidenciais estejam enterradas em seus arquivos. Isto cria uma lacuna entre as reivindicações de segurança da Apple e os riscos do mundo actual. Remover segredos vazados não é simples para os desenvolvedores. Eles devem revogar chaves antigas, criar novas e reconstruir partes de seus aplicativos. Isso pode quebrar recursos e atrasar atualizações. Embora a Apple diga que a maioria das atualizações de aplicativos são revisadas em 24 horas, algumas atualizações levam semanas. Durante esse período, os aplicativos vulneráveis ​​podem permanecer disponíveis.

CyberGuy entrou em contato com a Apple para comentar, mas não recebeu resposta antes da publicação.

Maneiras de se manter seguro agora

Você não pode inspecionar facilmente um aplicativo em busca de segredos ocultos. A Apple não fornece ferramentas para isso. Ainda assim, você pode reduzir o risco e limitar a exposição sendo seletivo e cauteloso. Essas etapas ajudam a reduzir o risco de um aplicativo vazar dados nos bastidores.

1) Atenha-se a desenvolvedores de aplicativos estabelecidos

Desenvolvedores conhecidos tendem a ter equipes de segurança mais fortes e melhores práticas de atualização. Aplicativos menores ou desconhecidos podem apressar o lançamento de recursos no mercado e ignorar os princípios básicos de segurança. Antes de baixar, verifique há quanto tempo o desenvolvedor está ativo e com que frequência o aplicativo é atualizado.

2) Revise e limite as permissões do aplicativo

Muitos aplicativos pedem mais acesso do que precisam. Localização, contatos, fotos e acesso ao microfone aumentam o risco de vazamento de dados. Entre nas configurações do seu iPhone e remover permissões que não são essenciais para o funcionamento do aplicativo.

3) Exclua aplicativos que você não usa mais

Os aplicativos não utilizados ainda mantêm acesso aos dados que você compartilhou no passado. Eles também podem armazenar informações em servidores remotos muito depois de você parar de abri-los. Se você não usa um aplicativo há meses, remova-o. Veja como: Abra Configuraçõestocar Em geralselecione Armazenamento do iPhonee percorra a lista de aplicativos para ver quando cada um foi usado pela última vez. Toque em qualquer aplicativo que você não precisa mais e selecione Excluir aplicativo para removê-lo e reduzir a exposição contínua de dados.

4) Seja cauteloso com detalhes pessoais e financeiros

Evite inserir informações confidenciais, a menos que seja absolutamente necessário. Isso inclui nomes completos, endereços, detalhes de pagamento e conversas privadas. Os aplicativos de IA são especialmente arriscados se você compartilhar conteúdo profundamente pessoal.

5) Use um gerenciador de senhas para cada conta

Um gerenciador de senhas cria senhas fortes e exclusivas para cada aplicativo e serviço. Isso evita que invasores acessem várias contas se um aplicativo vazar dados. Nunca reutilize senhas vinculadas ao seu endereço de e-mail.

A seguir, veja se o seu e-mail foi exposto em violações anteriores. Nossa escolha número 1 de gerenciador de senhas inclui um scanner de violação integrado que verifica se seu endereço de e-mail ou senhas apareceram em vazamentos conhecidos. Se você descobrir uma correspondência, altere imediatamente todas as senhas reutilizadas e proteja essas contas com credenciais novas e exclusivas.

Confira os melhores gerenciadores de senhas revisados ​​por especialistas de 2026 em Cyberguy. com.

6) Altere as senhas vinculadas aos aplicativos expostos

Se um aplicativo usar seu endereço de e-mail para login, altere essa senha imediatamente. Faça isso mesmo que não haja confirmação de violação. Os invasores costumam testar credenciais vazadas em outros serviços.

7) Considere usar um serviço de remoção de dados

Alguns dados vazados acabam em corretores de dados que vendem informações pessoais on-line. Um serviço de remoção de dados pode ajudar a encontrar e remover seus dados desses bancos de dados. Isso reduz an opportunity de os dados expostos do aplicativo serem reutilizados para fraudes ou roubo de identidade.

Embora nenhum serviço possa garantir a remoção completa dos seus dados da Web, um serviço de remoção de dados é realmente uma escolha inteligente. Eles não são baratos e nem a sua privacidade. Esses serviços fazem todo o trabalho para você, monitorando ativamente e apagando sistematicamente suas informações pessoais de centenas de websites. É o que me dá tranquilidade e provou ser a forma mais eficaz de apagar seus dados pessoais da web. Ao limitar as informações disponíveis, você reduz o risco de os golpistas cruzarem dados de violações com informações que possam encontrar na darkish net, tornando mais difícil para eles atingirem você.

Confira minhas principais opções de serviços de remoção de dados e faça uma verificação gratuita para descobrir se suas informações pessoais já estão na net visitando Cyberguy. com.

Faça uma verificação gratuita para descobrir se suas informações pessoais já estão na net: Cyberguy. com.

8) Monitore suas contas em busca de atividades incomuns

Fique atento a e-mails inesperados, avisos de redefinição de senha, alertas de login ou confirmações de pagamento. Isso pode sinalizar que os dados vazados já estão sendo abusados. Aja rapidamente se algo parecer errado.

9) Pause o uso de IA arriscada e aplicativos de bate-papo

Se você usa aplicativos de IA para conversas privadas, considere parar até que o desenvolvedor confirme as correções de segurança. Depois que os dados são expostos, eles não podem ser recuperados. Evite compartilhar detalhes confidenciais com aplicativos que armazenam conversas remotamente.

Principais conclusões de Kurt

A App Retailer da Apple ainda oferece proteções importantes, mas esta pesquisa mostra que não é infalível. Muitos aplicativos confiáveis ​​para iPhone expõem dados silenciosamente devido a erros básicos de segurança. Até que as avaliações dos aplicativos melhorem, você precisa ficar alerta e limitar a quantidade de dados que compartilha.

Quantos aplicativos do seu iPhone têm acesso a informações que você não gostaria que fossem expostas? Informe-nos escrevendo para nós em Cyberguy. com.

CLIQUE AQUI PARA BAIXAR O APLICATIVO FOX NEWS

Inscreva-se para receber meu relatório CyberGuy GRATUITO
Receba minhas melhores dicas técnicas, alertas de segurança urgentes e ofertas exclusivas diretamente em sua caixa de entrada. Além disso, você terá acesso instantâneo ao meu Final Rip-off Survival Information – gratuitamente ao ingressar no meu CYBERGUY.COM boletim informativo.

Direitos autorais 2026 CyberGuy.com. Todos os direitos reservados.

Kurt “CyberGuy” Knutsson é um premiado jornalista de tecnologia que tem um profundo amor por tecnologia, equipamentos e devices que tornam a vida melhor com suas contribuições para a Fox Information e FOX Enterprise começando as manhãs no “FOX & Buddies”. Tem uma pergunta técnica? Receba o boletim informativo CyberGuy gratuito de Kurt, compartilhe sua voz, uma ideia para uma história ou comente em CyberGuy. com.

avots

ARTIGOS RELACIONADOSMais do autor

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui