1 em cada 3 apps Android expõe seus dados: por que isso acontece?

Um preocupante cenário de vulnerabilidade digital foi revelado pelo Relatório Global de Ameaças Mobile Zimperium, publicado na última quinta-feira (18). A pesquisa aponta que aproximadamente um em cada três aplicativos financeiros para Android expõe dados sensíveis, colocando milhões de usuários em risco constante de ataques cibernéticos.

O documento detalha como desenvolvedores continuam cometendo erros críticos de segurança, com quase metade dos aplicativos móveis contendo “segredos hardcoded” – informações valiosas como chaves de API embutidas diretamente no código-fonte. Esta prática permite que criminosos virtuais façam engenharia reversa do software e explorem falhas praticamente assim que o app é disponibilizado nas lojas oficiais.

Entre as descobertas mais alarmantes, o relatório identificou que um em cada 400 dispositivos Android passou por procedimentos de root (remoção das limitações de fábrica), enquanto no ecossistema iOS essa proporção é de um em cada 2.500 aparelhos. Esses dispositivos “liberados” ficam substancialmente mais vulneráveis a ataques complexos.

Os números se tornam ainda mais preocupantes quando analisamos a exposição por categoria de aplicativos. No Android, cerca de 33% dos apps financeiros apresentam vulnerabilidades que permitem ataques de interceptação, mesmo com defesas SSL implementadas. Já no iOS, 20% dos aplicativos de viagens sofrem do mesmo problema, expondo dados sensíveis de cartões de crédito, reservas e localização dos usuários.

1 em cada 3 apps Android expõe seus dados: por que isso acontece? 6 O relatório destaca que três em cada 1.000 celulares já foram comprometidos de alguma forma, enquanto um a cada cinco dispositivos Android encontra malwares durante sua utilização normal – uma taxa significativamente maior que a dos dispositivos Apple.

De acordo com os especialistas da Zimperium, o principal desafio de segurança está no fato de que aplicativos móveis não apenas consomem APIs (interfaces de programação de aplicações), mas também as expõem de forma inadequada. Sem a devida visibilidade nas chamadas entre apps e dispositivos, hackers conseguem mapear e manipular códigos para extrair credenciais e tokens, realizando operações maliciosas que simulam comportamentos legítimos.

Outro aspecto preocupante revelado na pesquisa é a insuficiência das ferramentas tradicionais de segurança. Firewalls convencionais e gateways de API não conseguem determinar com precisão se o tráfego provém de aplicativos genuínos ou versões clonadas, criando brechas exploráveis por atacantes sofisticados.

Para mitigar esses riscos, especialistas recomendam uma mudança de paradigma na abordagem de segurança móvel. Ao invés de focar apenas na proteção do dispositivo, desenvolvedores precisam priorizar a segurança intrínseca dos aplicativos, implementando APIs mais robustas, protegendo tokens com técnicas de ofuscamento e aplicando defesas em tempo real que validem a autenticidade das chamadas de API.

Os usuários também podem tomar medidas preventivas, como manter apps constantemente atualizados, baixar aplicativos apenas de fontes oficiais, verificar permissões solicitadas e utilizar soluções de segurança móvel que ofereçam proteção em tempo real contra ameaças emergentes.

Você também pode gostar dos artigos abaixo:

Falha de segurança Samsung expõe celulares Android ao controle remoto por hackers

Google restringe sideloading no Android, mas deixa uma brecha para usuários avançados

Fonte: Hardware.com.br