Aplicativo de rastreamento do Localizador de Família exposto em locais em tempo real, dados pessoais de usuários
Os aplicativos de acompanhamento pessoal podem ser úteis nas situações certas. como lembrar locais visitados ou ficar de olho nos entes queridos. Mas essa utilidade depende do aplicativo que mantém os dados dos usuários seguros e protegidos. Infelizmente para os usuários do Family Locator, um aplicativo de rastreamento para iOS voltado para as famílias, ele não fez nenhum dos dois, deixando uma grande quantidade de dados pessoais, incluindo locais em tempo real, expostos para qualquer pessoa encontrar.
As falhas de segurança gritantes do Family Locator foram descobertas pelo pesquisador de segurança Sanyam Jain e reportadas pela primeira vez ao TechCrunch. O aplicativo vem do desenvolvedor React Apps, com sede na Austrália, e entre os recursos estão o rastreamento de localização em tempo real para membros da família, junto com notificações baseadas em geocerca para quando alguém entra ou sai de um local específico.
Jain descobriu que os servidores do aplicativo não eram protegidos por senha e que o banco de dados de back-end estava desprotegido de maneira semelhante. Pior ainda, esse banco de dados, que incluía uma grande quantidade de dados pessoais de cada usuário, estava completamente descriptografado. Esses detalhes incluem nomes de usuários, endereços de e-mail, senhas de texto sem formatação e locais específicos em tempo real para membros da família, bem como quaisquer coordenadas de cercas geográficas que foram configuradas.
Esta coleção de dados sobre os mais de 238.000 usuários do aplicativo foi exposta por pelo menos várias semanas, onde qualquer pessoa poderia encontrá-lo. O TechCrunch chegou ao ponto de criar e inserir uma conta fictícia, apenas para que ela aparecesse no banco de dados com sua localização em segundos, além de contatar um usuário aleatório para confirmar se seus dados pessoais estavam corretos.
O React Apps ainda não reconheceu os dados expostos, e eles não podem ser contatados por meio do site ou dos registros comerciais australianos. Felizmente, para os usuários que ainda não aprenderam sobre essa situação, a Microsoft puxou o banco de dados, que estava sendo hospedado na nuvem do Azure, após ser contatado pelo TechCrunch.
História TimelineA Google atualiza a política de monitoramento de localização para refletir a prática realPor que seu telefone rastreia sua localização GPS é um problemaO Google remove o aplicativo de rastreamento que abusou das regras da Apple, como o FacebookFacebook oferece aos usuários Android mais controle sobre o rastreamento de localização
Via: Slash Gear
Nenhum comentário