Mais de 25 mil aplicativos para iOS estão vulneráveis a interceptação de dados

Por Redação | 28 de Abril de 2015 às 12h32

Uma vulnerabilidade descoberta recentemente em uma popular biblioteca de código aberto foi divulgada e agora ela vem sendo utilizada por invasores para espionar o tráfego criptografado de mais de 25 mil aplicativos para iOS.

A vulnerabilidade é resultado de uma falha na validação dos nomes de domínios dos certificados digitais na biblioteca AFNetworking, que é usada por diversos desenvolvedores de aplicativos para iOS e Mac OS X para implementar comunicações web – incluindo conexões HTTPS, conhecidas por oferecer maior segurança.

A falha permite que os cibercriminosos interceptem o tráfego HTTPS entre uma aplicação vulnerável e um serviço web e o decifrem com a ajuda de um certificado digital falso, que direciona para um domínio diferente do estipulado. Esse tipo de ataque pode acontecer por meio de redes Wi-Fi inseguras (geralmente públicas), pela invasão de roteadores ou por meio de outros métodos.

A empresa SourceDNA, que monitora o uso de componentes de terceiros em aplicativos móveis, alertou que mais de 25 mil aplicações para iOS são potencialmente vulneráveis a esses ataques, pois elas usam a AFNetworking 2.5.2 ou versões ainda mais antigas da biblioteca. A vulnerabilidade foi corrigida na versão 2.5.3 da biblioteca, lançada no dia 20 de abril.

Essa falha foi divulgada para os desenvolvedores que utilizam a biblioteca no dia 27 de março, apenas um dia após uma falha diferente que também afetada conexões HTTPS ter sido descoberta. Essa primeira vulnerabilidade usava o AFNetworking 2.5.1, lançado em fevereiro, e afetou mil em cada 100 mil aplicativos.

A SourceDNA oferece um serviço online chamado Searchlight para que os usuários verifiquem manualmente se os aplicativos instalados em seus dispositivos equipados com o sistema operacional móvel da Apple estão vulneráveis. De acordo com pesquisas realizadas no site, aplicativos desenvolvidos por grandes empresas como Microsoft, Yahoo! e Google estão vulneráveis a falha.

Além disso, a página de consulta também indica que aplicativos dos bancos Bradesco e Itaú estão vulneráveis. O Bradesco esclarece que está atualizando todas as versões dos apps que utilizam a AFNetworking, mas que "o ambiente transacional de seus apps é seguro e não é vulnerável". Já o Itaú "esclarece que seus aplicativos móveis não são vulneráveis a esse risco".

App Itaú vulnerável

Resultado da pesquisa no Searchlight, da SourceDNA, mostra que app do Itaú está vulnerável

Fonte: PCWorld, G1
Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.