Falha de segurança afeta milhares de aplicativos iOS com milhões de usuários

Por Redação | 22.04.2015 às 12:18

Uma das razões da Apple requerer que cada aplicativo em sua loja oficial seja submetido a uma revisão é o fato de obter controle sobre se tais aplicações irão comprometer o desempenho ou a integridade dos iPhones ou iPads em que estão instalados. Recentemente, uma falha de segurança com certificados falsos de HTTPS estava presente em uma biblioteca de terceiros, afetando milhares de aplicativos iOS.

Os aplicativos que foram afetados pela falha são compostos por milhões de usuários em todo mundo. O defeito na segurança foi em uma biblioteca de código aberto chamada de AFNetworking, usada para realizar download de milhares de aplicativos para dispositivos iOS e Mac. Tal biblioteca permite que os dispositivos se comuniquem com serviços web, meio usado pelos atacantes para interceder nos dispositivos das vítimas.

A falha desativa a validação de certificados digitais apresentados pelos servidores ao estabelecer conexões HTTPS seguras. Quando os certificados falsos são apresentados, os atacantes podem estar em posição para interceptar o tráfego criptografado entre os aplicativos afetados e servidores HTTPS. Com os dados interceptados, os atacantes podem, então, decifrar e modificar os dados, dando aos aplicativos um certificado falso.

Especialistas afirmam que é difícil determinar o impacto desse ataque no ecossistema iOS porque a vulnerabilidade usa o AFNetworking 2.5.1, que foi lançado em fevereiro. A vulnerabilidade presente foi corrigida com o AFNetworking 2.5.2, lançado no final de março. Alguns aplicativos que podem ter sido afetados pela falha são de grandes empresas como Yahoo, Microsoft, Uber, entre outras.

Alguns desses aplicativos foram corrigidos, mas outros ainda estão vulneráveis de acordo com o SourceDNA. A empresa criou um website para que os usuários possam verificar se seus aplicativos estão comprometidos. O SourceDNA ainda afirma que 1 mil em cada 100 mil aplicativos estão vulneráveis.

"Espanta-nos que uma biblioteca de código aberto possa ter introduzido uma falha de segurança em apenas seis semanas, expondo milhões de usuários a ataques", afirmou o serviço de análises.

Via SlashGear

Fonte: http://www.slashgear.com/https-snooping-flaw-affected-thousands-of-ios-apps-22380211/http://www.pcworld.com/article/2912752/https-snooping-flaw-in-thirdparty-library-affected-1000-ios-apps-with-millions-of-users.html