Recentemente foi descoberta uma vulnerabilidade encontrada na versão 2.5.1 da biblioteca AFNetworking, que permite aos desenvolvedores de aplicativos usar recursos de rede em seus apps. Embora o AFNetworking já tenha sido atualizado com correções, milhares de aplicativos iOS ainda não lançaram uma revisão e estão vulneráveis a ataques man-in-the-middle que podem descriptografar dados HTTPS.
A vulnerabilidade pode ser explorada usando qualquer certificado SSL válido para qualquer nome de domínio, desde que a credencial digital seja emitida por uma autoridade de certificação que o browser tenha como confiável.
Nate Lawson, o fundador da startup de análise de segurança SourceDNA, que publicou a descoberta, disse ao site Ars Technica que um atacante com qualquer certificado válido pode espionar ou modificar uma sessão SSL iniciada por um aplicativo com essa biblioteca falha.
A falha é que o nome de domínio não é verificado no certificado, embora o certificado seja verificado para ter certeza de que foi emitido por uma autoridade confiável. Por exemplo, eu posso fingir ser “microsoft.com” apenas apresentando um certificado válido para “sourcedna.com”.
Segundo foi publicado no portal G1, A falha está na validação de certificados digitais para sites seguros (SSL). O SSL é a tecnologia que mostra o “cadeado” de segurança em sites de internet. O cadeado só pode ser exibido quando um site possui um certificado digital válido e se esse certificado corresponde ao site visitado. Dessa maneira, um criminoso não pode usar um certificado obtido para outro site para criar uma página clonada de um endereço seguro.
Por causa da vulnerabilidade, o AFNetworking não verifica se o certificado digital corresponde ao site visitado. Com isso, um criminoso pode criar um site clonado e redirecionar o tráfego do app para esse site, usando qualquer certificado digital válido. Certificados digitais válidos podem ser obtidos gratuitamente pelos golpistas.
A notícia mais alarmante é que Lawson estima aproximadamente a quantidade assustadora de 25.000 aplicativos com a biblioteca vulnerável. Inicialmente foram estimados 1.500 apps sujeitos a ataques hacker, colocando informações sigilosas em risco. A empresa não está disponibilizando publicamente a lista dos nomes de muitos desses aplicativos, para dificultar a ação de hackers.
Vale lembrar que o erro presente no AFNetworking afeta somente os aplicativos que usam a biblioteca antiga de código. O aparelho em si e outros apps, incluindo navegadores, não são afetados pela falha, mesmo que uma ou mais aplicações no dispositivo estejam vulneráveis.
A SourceDNA disponibilizou uma ferramenta de busca para que usuários iOS possam verificar se os aplicativos que eles utilizam apresentam a falha.
A brecha no AFNetworking já foi corrigida. Desenvolvedores podem integrar a versão mais nova do código e atualizar o app para eliminar a vulnerabilidade. Mas isso precisa ser feito para cada aplicativo.
A SourceDNA disponibilizou uma página de consulta para verificar se um app está ou não vulnerável. O G1 pesquisou por apps de cinco dos maiores bancos brasileiros: Banco do Brasil, Bradesco, Caixa Econômica Federal, Itaú e Santander. Apps do Bradesco e do Itaú apareceram na lista como vulneráveis.
Com informações de http://www.tudocelular.com e Portal G1