Falha no SSL 3.0 faz com que Apple deixe de usar sistema no fim deste mês

Por Redação | 23 de Outubro de 2014 às 12h11

Primeiro veio o Heartbleed e, agora, o Poodle. A nova ameaça à segurança de sistemas SSL 3.0 está deixando muita gente preocupada por aí e, agora, a Apple é a mais nova empresa a se juntar a esse grupo, anunciando que, a partir do dia 28 de outubro, vai deixar de dar suporte ao protocolo de segurança em seu site para desenvolvedores. Nos produtos da fabricante, o sistema é usado para notificações push.

Em seu lugar, entrará o TSL (Transport Security Layer), uma alternativa mais segura e popular. O anúncio está sendo feito com uma semana de antecedência e desde já a Apple avisa aos desenvolvedores que eles devem parar o que estão fazendo e trabalhar em uma compatibilidade com o protocolo, ou, então, as notificações push de suas aplicações deixarão de funcionar a partir do dia 30 de outubro.

Para facilitar o trabalho, a empresa liberou ferramentas de adaptação e compatibilidade em seu espaço para desenvolvedores, como forma de tornar a transição mais tranquila. Tudo isso pode ser encontrado no portal da companhia dedicado aos produtores de software. Além disso, Cupertino espera que mais empresas adotem a mesma postura, uma vez que os problemas no SSL 3.0 parecem ser mais complicados do que vale a pena resolver.

A falha

O Poodle foi descoberto em meados de outubro e atinge versões antigas do procolo, usadas, por exemplo, para garantir compatibilidade com navegadores antigos como o Internet Explorer 6. Justamente por esse motivo, o sistema já defasado é usado até hoje, como forma de garantir que todo o ambiente online funcione sem problemas para todos.

A ameaça permite a realização de ataques man-in-the-middle, quando intermediários vulneráveis são infectados e servem como vetor. É o caso, por exemplo, de redes Wi-Fi desprotegidas e outras redes abertas, que poderiam ser infectadas para rastreamento e interceptação das informações trafegadas. O desvio de tráfego também está na lista de possibilidades de uso por parte dos hackers.

O resultado disso, claro, é a possibilidade de roubo de dados e informações confidenciais. Sob controle de uma rede, o criminoso poderia obter tudo aquilo que é transmitido por ela, como logins e senhas em serviços web, dados pessoais e até mesmo informações bancárias, caso o usuário acesse sua instituição financeira pelo caminho desprotegido.

Muitos servidores online já haviam deixado o protocolo SSL 3 de lado antes mesmo da descoberta da falha. Agora, mais e mais empresas estão se unindo a esse movimento. A ideia geral é que, como se trata de um sistema defasado e usado apenas para fins de compatibilidade, não vale a pena tentar atualizá-lo ou continuar desenvolvendo com ele.

A alternativa mais interessante é a mesma adotada pela Apple: substituir o SSL 3.0 pelo TSL, muito mais seguro, moderno e dinâmico. A pena, claro, é a perda de alguns usuários, mas, para a esmagadora maioria, trata-se de um preço baixo a pagar em prol de uma maior segurança das informações trafegadas.

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.