Mais de 150 mil smartphones têm dados vazados por falha em aplicativos

Um novo caso de falha de segurança voltou a expor a fragilidade da privacidade no ecossistema móvel. Mais de 150 mil smartphones com sistema Android tiveram dados sensíveis vazados após três aplicativos disponíveis na Google Play Store deixarem informações pessoais acessíveis na internet sem o conhecimento dos usuários.

A revelação foi feita pelo portal especializado Cybernews, que identificou que dados como nome completo, endereço de e-mail, fotos de perfil e até coordenadas de GPS estavam armazenados em bases públicas sem qualquer tipo de proteção. As aplicações somam mais de dois milhões de downloads.

Os aplicativos foram publicados pelo desenvolvedor MobilMinds, vinculado à empresa OZI Technologies Private Limited. As ferramentas utilizavam recursos de inteligência artificial para identificar animais e insetos a partir de fotos enviadas pelos usuários. No entanto, segundo a investigação, o sistema de armazenamento de dados apresentava uma configuração básica e grave: as bases do serviço Firebase estavam abertas, sem senha e com permissões de leitura e escrita totalmente liberadas.

Na prática, isso significava que qualquer pessoa com conhecimento técnico poderia acessar as informações diretamente pela internet. Em cenários mais críticos, também seria possível alterar ou inserir dados nas plataformas.

De acordo com o levantamento, a exposição atingiu 66.182 usuários do aplicativo Dog Breed Identifier Photo Cam, que acumula cerca de 500 mil downloads; 40.779 usuários do Spider Identifier App by Photo, também com 500 mil instalações; e 45.005 usuários do Insect Identifier by Photo Cam, que ultrapassou a marca de 1 milhão de downloads.

Os pesquisadores afirmam que parte dos dados de geolocalização era extraída dos metadados das imagens enviadas pelos próprios usuários. Com isso, as coordenadas GPS permitiam identificar a localização exata dos dispositivos ou até traçar padrões de deslocamento. Segundo o relatório do Cybernews, essas informações poderiam ser exploradas por agentes mal-intencionados para fins de fraude, perseguição digital ou combinação com outras bases de dados já vazadas.

Durante a análise, a equipe identificou indícios de que criminosos virtuais já haviam detectado as falhas antes mesmo da publicação da pesquisa. Foram encontrados rastros de scripts automatizados utilizados para varrer a internet em busca de serviços mal configurados, prática comum em ataques de coleta massiva de dados.

App Dog Breed Identifier Photo Cam / Imagem: Reprodução

Até o momento, o desenvolvedor MobilMinds não respondeu aos pedidos de esclarecimento feitos pelos pesquisadores. As três aplicações continuam disponíveis na Google Play Store, juntamente com outros aplicativos publicados pela mesma empresa.

Especialistas em segurança digital reforçam que usuários devem adotar medidas preventivas antes de instalar novos aplicativos, como verificar a reputação do desenvolvedor, analisar as avaliações deixadas por outros usuários e revisar cuidadosamente as permissões solicitadas. Também é recomendável desativar o salvamento automático de metadados de localização em fotos sempre que possível.

O episódio reacende o debate sobre a responsabilidade de desenvolvedores e plataformas na proteção de dados pessoais. Em um cenário em que a coleta de informações se tornou parte central da economia digital, falhas de configuração simples podem resultar na exposição em larga escala de dados sensíveis.

Para os usuários afetados, a orientação é excluir os aplicativos, alterar senhas vinculadas às contas utilizadas e monitorar possíveis atividades suspeitas. O caso amplia o alerta sobre os riscos associados a aplicativos aparentemente inofensivos e reforça a necessidade de maior vigilância tanto por parte das empresas quanto dos consumidores.