Net Barretos - Conectando emoções!

1.500 aplicativos iOS estão vulneráveis a ataques; saiba se você usa um deles

id123516[1]

Existem cerca de 1.500 aplicativos para iOS que apresentam uma falha de segurança, e tornam os iPhones e iPads vulneráveis a ataques, roubos de senhas, números de contas bancárias e outras informações sigilosas dos usuários. A pesquisa foi publicada pelo SourceDNA e revela que dois milhões de pessoas podem estar afetadas pela vulnerabilidade.

Os aplicativos incluem o Citrix OpenVoice Audio Conferencing, o app Alibaba.com, Movies by Flixster with Rotten Tomatoes, entre outros. Eles utilizam o AFNetworking, uma biblioteca de código aberto que permite aos desenvolvedores usar recursos de rede em seus apps. O problema é que uma versão mais anterior dessa biblioteca possui um bug que, embora já tenha sido corrigido há três semanas, na versão 2.5.2, ainda se encontra nos aplicativos que não foram revistos pelos desenvolvedores que ainda utilizam a versão 2.5.1, lançada em janeiro.

Os pesquisadores Simone Bovi e Mauro Gentile escreveram em um post publicado no final de março a respeito do problema. Eles disseram que analisaram um aplicativo que executa o AFNetworking 2.5.1 e encontraram resultados alarmantes.

Testamos o aplicativo em um dispositivo real e, inesperadamente, descobrimos que todo o tráfego SSL poderia ser regularmente interceptado por um proxy como o Burp, sem qualquer intervenção! (grifo deles)
Segundo a pesquisa do SourceDNA, os aplicativos utilizando a versão antiga da biblioteca estão vulneráveis a ataques man-in-the-middle que podem descriptografar dados HTTPS criptografadas. Os atacantes poderiam utilizar certificados fraudulentos com uma rede WiFi pública. Em condições normais, a credencial seria imediatamente detectada como uma falsificação, e a conexão seria abandonada, mas o bug resulta em um erro e a verificação de validação nunca é realizada.
A parte destacada do código contém o bug que faz com que o AFNetwork 2.5.1 ignore as verificações de certificados HTTPS
Cerca de 1 milhão de aplicativos da App Store tiveram seu código binário analisados. Os desenvolvedores de aplicativos que corrigiram o bug incluem empresas como Yahoo, Microsoft e Uber.

A SourceDNA optou durante algum tempo por não revelar quais são os apps vulneráveis para evitar que hackers se aproveitem da notícia. Agora a empresa disponibilizou uma ferramenta de busca que permite que os usuários finais verificarem se os seus aplicativos são vulneráveis. Eles atualização a ferramenta para remover aqueles apps que forem atualizados para corrigir a falha.

Recomendamos que usuários iOS confiram a ferramenta de busca de aplicativos afetados e gastem algum tempo para verificar seus aplicativos, e acompanhar com o tempo se eles serão corrigidos pelos seus desenvolvedores.

Fonte: Tudo Celular

Use QR-Code to get this permaking using your Smartphone. QR Code for 1.500 aplicativos iOS estão vulneráveis a ataques; saiba se você usa um deles

Deixe o seu comentário