Mais um dia, e mais uma falha cometida pelos desenvolvedores de algum aplicativo relevante da App Store expôs dados de usuários. Desta vez, estamos falando do WordPress para iOS. Mas antes que alguém saia correndo pelas colinas, ao menos nenhuma informação extremamente sensível foi divulgada e o problema já foi corrigido.
O que aconteceu, então? Bom, como explicou a ZDNet, o problema se apresentou como uma falha que expôs os tokens de autenticação dos usuários para sites de terceiros. Mais especificamente, o problema estava na forma como o app lidava com imagens hospedadas em outros websites e exibidas nos posts do usuário: nesse processo de autenticação do usuário, o app mandava junto o token de comprovação de identidade da conta, o que poderia fazer com que sites maliciosos capturassem esse dado e, com um pequeno processo, obtivessem acesso à conta.
Felizmente, nenhum acesso indevido ocorreu, e dados mais sensíveis (como nomes de usuário e senhas) não foram compartilhados. A Automattic, empresa responsável pelo WordPress, já corrigiu o erro (que era exclusivo do app da plataforma para iOS, é bom notar) e resetou os tokens de todos os usuários afetados, para evitar qualquer invasão futura.
Ainda assim, a solução do problema não exime a desenvolvedora do fato de que ele existiu por mais de dois anos: o WordPress para iOS apresentava a falha desde janeiro de 2017, e só na versão 11.9.1, lançada no último dia 15, o bug foi corrigido.
Se a história serve de algo, é que nós não podemos depositar todas as nossas confianças em ninguém na internet, até mesmo quando tratamos de desenvolvedoras conhecidas. Se você mantiver seus apps sempre atualizados e evitar compartilhar informações muito sensíveis online, entretanto, no geral não precisa se preocupar.
via TechCrunch
