we are developers

iMaster Developers

iMaster DevelopersPowered by:

DevSecOps

10 fev, 2017

Dezenas de apps para iPhone estão vulneráveis a ataques man-in-the-middle

Redação iMasters

Redação iMasters
Publicidade

Dezenas de aplicativos populares para iPhone estão vulneráveis a ataques que podem permitir que hackers interceptem e roubem dados potencialmente confidenciais e criptografados. As descobertas, divulgadas em um blog na segunda-feira, apontam que os aplicativos com bugs podem representar pelo menos 18 milhões de downloads.

De acordo com o ZDNet, entre os 33 aplicativos identificados, o Uconnect Access pode vazar nomes de usuário e senhas, permitindo que um invasor interfira com o veículo de um usuário; Huawei HiLink pode vazar dados do dispositivo; e dados de geolocalização e até mesmo batimentos de teclas podem ser interceptados pelos usuários do Cheetah Browser.

[awprm urls=https://imasters.com.br/noticia/ios-vai-permitir-mudancas-em-icones-como-os-live-tiles/,https://imasters.com.br/noticia/ios-10-3-beta-da-pistas-de-que-apple-vai-abandonar-suporte-para-apps-legados-no-ios-11/]

Mais de 40 aplicativos foram confirmados como de médio ou alto risco de ataques man-in-the-middle, permitindo que um atacante intercepte credenciais de serviços financeiros ou médicos.

Os aplicativos afetados não foram identificados imediatamente, mas estão sujeitos a um período de divulgação responsável de dois ou três meses, durante o qual os desenvolvedores devem corrigir o problema.

Código de rede mal implementado por desenvolvedores significa que o aplicativo vai aceitar qualquer certificado para estabelecer uma conexão criptografada, de acordo com Will Strafach, executivo-chefe do Sudo Security Group que divulgou o problema.

Um criminoso no raio de alcance de um dispositivo vulnerável poderia enganar o aplicativo para aceitar seu certificado, permitindo-lhe extrair quaisquer dados para e do aplicativo. Pior ainda, o recurso de segurança de transporte de aplicativos da Apple não bloqueará o certificado do atacante porque ele vê uma conexão criptografada válida.

“E não é como se a Apple pudesse ajudar”, disse Strafach. Se a empresa bloqueasse a falha de segurança, poderia tornar os aplicativos para iPhone e iPad menos seguros, já que os aplicativos substituiriam a fixação de certificados, um recurso de segurança que evita a representação usando certificados fraudulentos. “O ônus recai exclusivamente sobre os próprios desenvolvedores de aplicativos, que devem garantir que seus aplicativos não fiquem vulneráveis”, concluiu Strafach.

Redação iMasters
Saiba mais

Redação iMasters

Matérias especiais e reportagens conduzidas internamente pela Redação iMasters. Acompanhe no Twitter @imasters