Um simples erro de configuração foi suficiente para destruir a privacidade de milhões de usuários de IA. O aplicativo Chat & Ask AI, que possui mais de 50 milhões de usuários no Android e iOS, de fato expôs as conversas de seus usuários na Internet. Um Firebase mal protegido é a causa do vazamento. Este é um descuido comum que afeta centenas de aplicativos.
Um pesquisador independente de segurança cibernética descobriu um aplicativo mal configurado na Play Store e na App Store. Com mais de 50 milhões de usuários e mais de 10 milhões de downloads no Android, o aplicativo Converse e pergunte à IA permite que você faça perguntas a vários modelos de IA, incluindo ChatGPT, Claude ou Gemini. Desenvolvido pela empresa turca Codeway, o aplicativo se tornou popular entre usuários que desejam conversar com múltiplas IAs em uma única interface.
Conforme relatado por nossos colegas de 404 Mídiao pesquisador descobriu que o aplicativo está relacionado a um banco de dados Firebase mal configurado. Lembrando que Firebase é uma plataforma do Google que permite que sites hospedem dados, configurem um serviço de autenticação, implantem funções de nuvem ou aproveitem o Google Analytics para Firebase. As regras de segurança da instância foram mal definidas pelos desenvolvedores, o que permite que qualquer internauta tenha acesso aos dados armazenados online. Qualquer um poderia fingir ser um usuário logado e ler os dados armazenados sem precisar se autenticar antecipadamente.
“Um dos erros de configuração mais comuns do Firebase é deixar as regras de segurança em acesso público, o que permite que qualquer pessoa com a URL do projeto leia, modifique ou exclua dados sem qualquer autenticação”explicam os pesquisadores da MalwareBytes, que retransmitem a descoberta.
Leia também: Google revela que um bilhão de smartphones Android são vulneráveis a ataques cibernéticos
300 milhões de mensagens expostas por engano
Um invasor em potencial poderia se comunicar diretamente com o banco de dados do aplicativo. Esse banco de dados inclui históricos de chat, timestamps e até parâmetros do bot, como o nome dado pelo usuário ao chatbot, a configuração escolhida e o modelo específico utilizado. O pesquisador por trás da descoberta acredita que 300 milhões de mensagens de mais de 25 milhões de usuários foram expostos na Internet.
As mensagens incluem conteúdo altamente sensível, por exemplo, solicitações sobre “como cometer suicídio sem dor”escrevendo cartas de suicídio, perguntas sobre como produzir metanfetamina ou até mesmo hackear aplicativos. O pesquisador não demorou a alertar a Codeway, desenvolvedora do aplicativo, sobre a situação. A empresa turca corrigiu prontamente o erro de configuração em todos os seus aplicativos em poucas horas.
Leia também: 6 bilhões de nomes de usuários e senhas hackeados – um enorme banco de dados apareceu na dark web
Um problema de segurança generalizado
Infelizmente, o bug de configuração não se limita a um único aplicativo. Na verdade, esse tipo de configuração incorreta do Firebase é conhecido há anos e continua muito difundido entre os desenvolvedores de aplicativos. Para medir a dimensão exata do problema, o pesquisador desenvolveu uma ferramenta que verifica automaticamente a App Store e a Play Store em busca de outros aplicativos afetados.
O veredicto é suficiente para assustar os internautas. Dos 200 aplicativos iOS analisados, 103 aplicativos apresentaram a mesma falha de segurança vinculada a uma instância mal configurada. Dezenas de milhões de arquivos estão expostos na Internet, à mercê de cibercriminosos. O pesquisador não informa um número de apps vulneráveis nem uma porcentagem para a Play Store.
Para ajudar os usuários a evitar aplicativos vulneráveis, o pesquisador colocou online um site dedicado, chamado Firehound. Este site permite que você veja quais aplicativos sofrem com uma falha de segurança semelhante. Quando um desenvolvedor corrige o problema em seu servidor Firebase, ele remove o aplicativo da lista. No site, os aplicativos são classificados de acordo com os arquivos expostos. Antes de instalar um aplicativo desconhecido, como um aplicativo de IA, recomendamos que você dê uma olhada no Firehound e verifique se ele não foi fixado.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.