📚 Continue Lendo
Mais artigos do nosso blog
Uma grave falha de segurança no App Neon levou à sua desativação temporária. O aplicativo, que havia rapidamente se consolidado como um dos cinco apps gratuitos mais populares para iPhone desde seu lançamento na semana anterior, permitia o acesso indiscriminado a dados sensíveis de milhares de usuários. Dentre as informações expostas estavam números de telefone, gravações de chamadas e suas respectivas transcrições, colocando em risco a privacidade de seus usuários.
O aplicativo Neon atraiu considerável atenção do público, registrando um pico de 75.000 downloads em apenas um dia, conforme dados da Appfigures, empresa especializada em inteligência de aplicativos. Sua proposta de valor era permitir que usuários monetizassem suas conversas telefônicas, fornecendo gravações que seriam utilizadas para treinar, aprimorar e testar modelos de inteligência artificial. No entanto, a recente vulnerabilidade de segurança comprometeu fundamentalmente a confiança de sua base crescente de utilizadores.
App Neon é Retirado do Ar Após Falha de Segurança Expor Dados
A descoberta da falha de segurança foi feita pela equipe do TechCrunch durante testes no aplicativo em uma quinta-feira recente. A reportagem identificou a vulnerabilidade em um curto período, notificando prontamente o fundador do app, Alex Kiam. O aplicativo Neon interrompeu suas funcionalidades logo após o contato da TechCrunch, confirmando a urgência e gravidade do problema.
Alex Kiam, que anteriormente não havia respondido a solicitações de comentários sobre o aplicativo, informou à TechCrunch que desativou os servidores do App Neon e iniciou o processo de comunicação aos usuários sobre a pausa. Contudo, em suas mensagens, o fundador omitiu a natureza exata do incidente, não detalhando a falha de segurança que resultou na exposição dos dados.
A raiz do problema residia na configuração dos servidores do App Neon, que falharam em impedir que qualquer usuário logado pudesse acessar informações pessoais de terceiros. Isso significa que a arquitetura do aplicativo não impedia o tráfego de dados de um usuário para o acesso aos dados de outros, configurando uma severa brecha na proteção de informações.
Para comprovar a falha, o TechCrunch criou uma nova conta de usuário, verificou um número de telefone no processo de cadastro e utilizou uma ferramenta de análise de tráfego de rede, conhecida como Burp Suite. Este método permitiu compreender o funcionamento técnico do aplicativo e como ele se comunicava com seus servidores de backend.
Após a realização de chamadas de teste, o App Neon exibia um registro das ligações recentes do próprio usuário e os valores ganhos por cada uma. No entanto, a análise de rede revelou dados que não eram visíveis na interface comum do aplicativo. Estes incluíam as transcrições de texto das chamadas e, criticamente, endereços web que levavam diretamente aos arquivos de áudio das conversas, os quais podiam ser acessados publicamente por qualquer pessoa que tivesse o link. Por exemplo, foi possível visualizar a transcrição de uma chamada de teste entre dois repórteres do TechCrunch.
A investigação demonstrou que os servidores do App Neon não só permitiam o acesso aos próprios dados dos usuários, mas também eram capazes de liberar massas de dados de chamadas de outras pessoas. Foram encontrados registros das ligações mais recentes feitas por outros utilizadores do aplicativo, com links públicos para seus arquivos de áudio brutos e as transcrições de texto do que foi dito. Importante notar que os arquivos de áudio continham apenas gravações de quem tinha o App Neon instalado, e não dos contatos externos.
Similarmente, a manipulação dos servidores do aplicativo podia expor registros de chamadas recentes, ou metadados, de qualquer usuário. Essa informação incluía o número de telefone do usuário, o número de telefone da pessoa contatada, o horário da chamada, sua duração e o montante financeiro gerado por cada ligação. Uma análise de um número limitado de transcrições e arquivos de áudio sugeriu que alguns usuários poderiam estar utilizando o aplicativo para registrar conversas prolongadas, de forma oculta, com outras pessoas, visando exclusivamente à obtenção de lucros via App Neon.
Imagem: Getty via techcrunch.com
Em e-mail enviado aos clientes após ser alertado sobre a falha na quinta-feira, Kiam comunicou o encerramento das atividades do app. “A privacidade dos seus dados é a nossa prioridade número um, e queremos garantir que ela esteja totalmente segura mesmo durante este período de rápido crescimento. Por isso, estamos temporariamente desativando o aplicativo para adicionar camadas extras de segurança”, afirmava o comunicado, compartilhado com o TechCrunch. Conforme observado, o e-mail não fazia menção explícita à falha de segurança ou à exposição de números de telefone, gravações e transcrições de chamadas.
O futuro do App Neon permanece incerto, sem uma data definida para seu retorno. Questiona-se também se essa significativa falha de segurança atrairá a atenção das lojas de aplicativos responsáveis, como a Apple App Store e o Google Play Store. Até o momento da publicação, tanto Apple quanto Google não se pronunciaram sobre a conformidade do Neon com suas diretrizes para desenvolvedores.
Este incidente não é um caso isolado de um aplicativo com vulnerabilidades sérias. Recentemente, o aplicativo de namoro Tea sofreu uma violação de dados, expondo informações pessoais e documentos de identidade de seus usuários. Em 2024, apps populares como Bumble e Hinge foram flagrados expondo a localização de seus usuários. As lojas de aplicativos também precisam constantemente remover aplicativos maliciosos que conseguem passar por seus processos de revisão.
Ao ser questionado sobre a realização de auditorias de segurança antes do lançamento do aplicativo e sobre a existência de mecanismos para determinar se a falha foi descoberta por outros ou se dados de usuários foram roubados, Alex Kiam não forneceu respostas imediatas. Adicionalmente, o TechCrunch tentou contato com a Upfront Ventures e a Xfund, empresas que Kiam menciona em um post no LinkedIn como investidoras no seu aplicativo, mas ambas não responderam até a publicação.
A relevância da segurança em aplicativos é um tema crucial, especialmente quando se observa a crescente preocupação com a privacidade de dados na era digital. Incidentes como a falha de segurança no App Neon ressaltam a importância da conscientização e das melhores práticas, conforme defendido por organizações como a Eletronic Frontier Foundation (EFF), que oferece recursos para a autodefesa digital.
Este caso serve como um lembrete contundente da necessidade de vigilância constante sobre a privacidade de informações online e dos riscos associados à confiança em plataformas digitais. Para mais análises e atualizações sobre tecnologia e segurança digital, continue acompanhando nossa seção de Análises.
Image Credits:TechCrunch
Recomendo
🔗 Links Úteis
Recursos externos recomendados
