O SourceDNA, uma plataforma de análise de código que audita aplicativos para Android e iOS, divulgou recentemente um relatório indicando que mais de 1.000 aplicativos iOS têm uma séria vulnerabilidade de segurança que pode comprometer os detalhes financeiros de um usuário.
O bug impede que os aplicativos autentiquem corretamente os certificados SSL O que é um certificado SSL e você precisa de um? O que é um certificado SSL e você precisa de um? Navegar na Internet pode ser assustador quando informações pessoais estão envolvidas. Leia mais, abrindo os aplicativos até uma série de ataques man-in-the-middle. Embora este aplicativo não afete a segurança do próprio iOS Segurança do smartphone: iPhones podem obter malware? Segurança do smartphone: iPhones podem obter malware? O malware que afeta "milhares" de iPhones pode roubar as credenciais da App Store, mas a maioria dos usuários do iOS é perfeitamente segura - então, qual é o problema com o software invasor e com o iOS? Leia mais, pode comprometer os dados do usuário transmitidos por meio de aplicativos afetados…
Um erro simples que quebra o SSL
O bug em questão está no pacote AFNetworking, uma popular solução de rede de código aberto usada em milhares de aplicativos da App Store. O bug é um erro lógico simples que interrompe a verificação SSL, retornando todas as verificações de certificado como válidas. Este não é um desastre de segurança maciço como HeartBleed Heartbleed - O que você pode fazer para ficar seguro? Heartbleed - o que você pode fazer para ficar seguro? Leia mais ou ShellShock pior que Heartbleed? Conheça o ShellShock: uma nova ameaça à segurança do OS X e do Linux é pior do que o Heartbleed? Conheça o ShellShock: uma nova ameaça à segurança para o OS X e Linux Leia mais - mas é um problema se você usar um aplicativo que contenha o bug. Felizmente, o bug existia por apenas seis semanas, adicionado em 2.5.1 e corrigido em 2.5.2. Você pode razoavelmente assumir que é o fim da história.
Infelizmente não.
Infelizmente, muitos desenvolvedores não mantêm ativamente seus aplicativos atualizados com correções de bugs, e há um monte de aplicativos que ainda usam a versão quebrada do AFNetworking, apesar da disponibilidade de um patch. O SourceDNA analisou 20.000 aplicativos que contêm versões do pacote AFNetworking e determinou que cerca de 1.000 ainda estão usando a verificação SSL quebrada.
O SourceDNA foi capaz de realizar essa verificação usando ferramentas de análise que permitem analisar os arquivos binários de milhares de aplicativos. Sua tecnologia permite identificar não apenas com quais bibliotecas esses aplicativos foram compilados, mas quais versões dessas bibliotecas. Acontece que isso é incrivelmente útil para identificar quais aplicativos podem ser afetados por bugs e vulnerabilidades conhecidos. De acordo com o jornal divulgado,
“O SourceDNA criou uma impressão digital diferencial para encontrar o código vulnerável. Pense nisso como um conjunto de características únicas que estavam presentes ou ausentes apenas na versão segmentada e não em outras antes ou depois dela. Com esse conjunto de assinaturas, nosso mecanismo de análise nos diria exatamente qual versão do AFNetworking estava em uso em cada aplicativo. “
Muitos dos aplicativos afetados armazenam e transmitem dados do cartão de crédito do usuário, incluindo o aplicativo móvel Alibaba.com, o KYBankAgent 3.0 e o Revo Restaurant Point of Sale. Vários milhões de usuários têm um aplicativo vulnerável instalado em seu dispositivo iOS - uma quantidade surpreendente de exposição a partir de um bug tão breve.
“5% ou cerca de 1.000 aplicativos tiveram a falha. Esses aplicativos são importantes? Nós os comparamos com nossos dados de classificação e encontramos alguns grandes participantes: Yahoo !, Microsoft, Uber, Citrix etc. Surpreende-nos que uma biblioteca de código aberto que introduziu uma falha de segurança por apenas 6 semanas expôs milhões de usuários ao ataque. ”
Avaliando o impacto do erro AFNetworking
Quão ruim é essa vulnerabilidade? O bug permite que os invasores enganem os aplicativos e pensem que estão se comunicando por uma conexão segura com um servidor confiável. Se você estiver usando um aplicativo vulnerável, qualquer pessoa na mesma rede Wi-Fi que você pode configurar um ataque man-in-the-middle O que é um ataque Man-in-the-middle? Jargão de Segurança Explicado O Que É um Ataque Man-in-the-Middle? Jargão de Segurança Explicado Se você já ouviu falar de ataques "man-in-the-middle", mas não tem certeza do que isso significa, este é o artigo para você. Leia mais e intercepte informações dos aplicativos, incluindo dados confidenciais, como informações de cartão de crédito. Esta informação pode ser usada para facilitar o roubo de identidade 6 Sinais de aviso de roubo de identidade digital que você não deve ignorar 6 Sinais de aviso de roubo de identidade digital que você não deve ignorar Roubo de identidade não é tão raro de uma ocorrência nos dias de hoje cair na armadilha de pensar que sempre vai acontecer com "outra pessoa". Não ignore os sinais de aviso. Leia mais e outras formas de fraude. Potencialmente, esse tipo de ataque pode ser automatizado para segmentar aplicativos populares.
Várias empresas apressaram-se em atualizações e correções desde a notícia, incluindo Microsoft e Yahoo. A maioria dos aplicativos, no entanto, permanece sem correção. Para ver se os aplicativos que você usa são afetados, você pode usar a ferramenta de pesquisa SourceDNA. Se você descobrir que um dos seus aplicativos ainda está vulnerável, a estratégia mais segura é excluí-lo temporariamente e enviar uma mensagem aos desenvolvedores pedindo que eles publiquem um patch o mais rápido possível.
O SourceDNA é uma ferramenta inteligente, e isso demonstra que sua tecnologia é realmente útil. A segurança do computador é difícil, e uma ferramenta que pode automatizar o processo de procurar por erros não corrigidos - com ou sem cooperação do desenvolvedor - é uma grande vitória para a segurança do usuário. Sem esse tipo de verificação, esse bug generalizado teria persistido, provavelmente por um bom tempo. Esse tipo de análise possibilita um público em massa que torna os desenvolvedores muito mais responsáveis e parece provável que o SourceDNA descobrirá mais problemas não detectados e sem solução.
Seu dispositivo iOS é afetado pelo bug AFNetworking? Você está animado com essas novas ferramentas de análise? Deixe-nos saber nos comentários!
Créditos de imagem: “Guerra da Marinha dos EUA”, “Frente do iPhone, “ Câmera do iPhone ”, da Wikimedia