Vulnerabilidade expõe dados criptografados de milhares de aplicativos para iOS

796707
Cerca de 1 mil apps para iOS estão vulneráveis a uma falha que permite a invasores acesso a dados criptografados como senhas, números de contas bancárias e endereços residenciais, toda vez que eles são enviados por conexões sem fio. A informação é da empresa de segurança da informação SourceDNA.

Empresas como Microsoft, Uber e Yahoo lançaram aplicativos afetados pela falha. Segundo a SourceDNA, elas já corrigiram o problema, mas vários outros apps ainda não foram atualizados.

Todos os aplicativos afetados usam a mesma biblioteca em código aberto para auxiliar desenvolvedores a incorporarem criptografia em seus programas.

Chamada de AFNetworking, a biblioteca de rede possui uma falha na sua SSL, a tecnologia de segurança que permite que informações sensíveis sejam enviadas pela rede. A biblioteca foi lançada em janeiro e corrigida em março, mas cerca de 1 mil apps ainda usam a versão vulnerável.

A SourceDNA analisou todos os aplicativos gratuitos, além dos 5 mil apps pagos mais populares disponíveis na App Store. Dos quase 1 milhão de aplicativos estudados, a empresa encontrou 100 mil que usavam a AFNetworking. Desses, 20 mil foram lançados desde que a vulnerabilidade foi introduzida na biblioteca.

Segundo o relatório divulgado pela empresa, 55% dos aplicativos tinham o código antigo, mas seguro; 40% não estavam usando a parte da biblioteca que fornece o SSL; e 5% dos apps, cerca de 1 mil, tinham a falha. Entre eles, aplicativos do Yahoo!, Microsoft, Uber e Citrix (as três primeiras empresas já corrigiram a falha).

A empresa de segurança criou uma ferramenta on-line para desenvolvedores verificarem se seus próprios aplicativos estão vulneráveis, e usuários podem checar se estão usando um aplicativo que está ou já foi afetado.

Fonte: SourceDNA | Info

,