Todos os aplicativos chineses banidos dos EUA pelo presidente Donald Trump em uma ordem executiva emitida na última terça-feira, 5, apresentam vulnerabilidades, aponta a empresa de segurança TIQS, em relatório feito a pedido de Mobile Time. São destacados oito diferentes vulnerabilidades consideradas graves encontradas nos referidos aplicativos, desde algoritmo de hashing fraco até possível ataque de “man in the middle” e exposição de dados potencialmente sensíveis assim como das chaves de encriptação dentro do código fonte dos apps.
“Todos os apps apresentaram baixo nível de ofuscação de código, o que torna mais fácil a análise do código do app, tornando-os potencialmente mais vulneráveis a ataques”, afirma Marcelo Nascimento, diretor da TIQS. Todos os apps chineses apresentaram ao menos quatro das dez maiores vulnerabilidades móveis listadas pela OWASP, afirma o executivo. As mais graves, na sua opinião, são a exposição de requisições SQL e exposição da estrutura dos bancos de dados. “Uma das principais coisas que atacantes fazem para realizar um ataque é o levantamento de informações a respeito do alvo. Ter ‘queries’ e parte do banco exposto no código pode dar informação valiosa aos atacantes, que por sua vez podem usá-la para invadir o banco de dados da aplicação, comprometendo dados de usuários”, explica.
Os sete apps
Trump listou o que seriam oito apps chineses a serem banidos, mas na verdade alguns dos nomes são serviços de pagamento contidos em outros aplicativos. É o caso de WeChat Pay, que fica dentro do WeChat, e QQ Wallet, dentro do QQ. Levando isso em conta, a lista é composta, na prática, por sete apps: Alipay, CamScanner, QQ, SHAREit, VMate, WeChat e WPS Office.
Veja abaixo a lista dos principais problemas encontrados pela TIQS em cada um dos sete apps chineses:
Alipay: Dados sensíveis expostos no código; Queries SQL expostas no código; Chaves de encriptação expostas no código; Uso de protocolo HTTP não encriptado; Algoritmo de hashing fraco; Possível ataque de man-in-the-middle.
CamScanner: Dados sensíveis expostos no código; Queries SQL expostas no código; Uso de protocolo HTTP não encriptado; Algoritmo de hashing fraco; Banco de dados exposto no código; Exposição de dados potencialmente sensíveis.
QQ: Dados sensíveis expostos no código; Queries SQL expostas no código; Uso de protocolo HTTP não encriptado; Algoritmo de hashing fraco.
SHAREit: Dados sensíveis expostos no código; Queries SQL expostas no código; Chaves de encriptação expostas no código; Uso de protocolo HTTP não encriptado; Algoritmo de hashing fraco; Banco de dados exposto no código; Exposição de dados potencialmente sensíveis.
VMate: Chaves de encriptação expostas no código; Uso de protocolo HTTP não encriptado; Algoritmo de hashing fraco.
WeChat: Queries SQL expostas no código; Chaves de encriptação expostas no código; Uso de protocolo HTTP não encriptado; Algoritmo de hashing fraco.
WPS Office: Dados sensíveis expostos no código; Algoritmo de hashing fraco; Banco de dados exposto no código; Exposição de dados potencialmente sensíveis.
Segurança nacional
Trump baniu os referidos apps alegando risco à segurança nacional, com a suspeita de que compartilhariam dados com o governo chinês. Em recente entrevista para Mobile Time, o cientista político Maurício Santoro comentou que esse foi apenas o mais recente capítulo de uma série de ações na disputa comercial entre os dois países, “cujo âmago é o conflito em torno das novas tecnologias que vão definir a quarta revolução industrial, dentre as quais estão a inteligência artificial, a Internet das Coisas e o 5G”.
Santoro destacou também que, embora nunca tenha sido provado que os referidos apps compartilhem dados com o governo chinês, a suspeita é plausível. Mas lembrou que as mesmas suspeitas também recaem sobre apps e governos ocidentais.
