Aplicativos da Google Play Store oficial estão expondo senhas de usuários por falha na configuração do HTTPS
O motivo da brecha de segurança se dá devido aos apps em questão não implementarem corretamente a criptografia HTTPS durante logins ou até mesmo pela falta de uso do protocolo.
Juntos, os aplicativos com essa vulnerabilidade somam mais de 200 milhões de downloads na Google Play e permanecem vulneráveis mesmo após os desenvolvedores alertarem para o problema. Os aplicativos com a falha incluem títulos oficiais como o NBA Game Time, o serviço de namoro online Match.com, a cadeia de supermercados Safeway e a cadeia de restaurantes Pizza Hut.
A falha foi descoberta pelo AppBugs, uma empresa que ajuda os desenvolvedores a encontrar falhas de segurança em seus aplicativos e usuários móveis a identificar os apps com bugs de segurança em seus dispositivos.
De acordo com o CEO da companhia, Rui Wang, o Match.com utiliza um protocolo de transferência de hipertexto não criptografado para enviar as senhas de seus usuários. Isso facilita a vida de quem está mal-intencionado e abre a possibilidade de monitorar o tráfego, como alguém que está usando a mesma rede Wi-FI da vítima, por exemplo.
Outros aplicativos, como o NBA Game Time, Safeway e Pizza Hut usam criptografia HTTPS, mas não a implementaram corretamente.
Como resultado, um hacker pode usar um certificado digital fraudulento para ler os dados de login do usuário.
“O invasor poderia ser algum estranho que monitora o tráfego de uma rede Wi-Fi ou um roteador de internet comprometido que registra o tráfego silenciosamente”, explica Wang.
A AppBugs disse que informou o desenvolvedor do aplicativo da NBA sobre a vulnerabilidade no final de fevereiro, mas nunca recebeu uma resposta. Os desenvolvedores dos aplicativos do Match.com, Safeway e Pizza Hut, bem como outros 50 aplicativos, também não responderam à empresa de segurança. Ao todo, Wang disse ter descoberto 100 aplicativos com falha nas credenciais de login e somente 28 foram corrigidos.
Embora não seja uma tarefa difícil para o Google detectar tais falhas nos aplicativos que disponibiliza em seus próprios servidores, não há nenhuma indicação de que a gigante da web tenha feito isso.
Fonte: Arstechnica/Canaltech
