Pesquisador descobre vulnerabilidade ligada a intercepção de dados em mais de 70 apps famosos

Apple e segurança

Embora o iOS seja dotado de uma segurança reconhecida no mercado como muito superior à de outros sistemas operacionais, parte deste quesito não deixa de ficar sob a responsabilidade de terceiros, principalmente desenvolvedores, importantes na criação e na manutenção dos aplicativos e serviços online usados diariamente por centenas de milhões de pessoas.

A Apple está tentando ajudar com a definição de controles mínimos (a exemplo da camada de App Transport Security, ou ATS, discutida anteriormente), mas ainda existem riscos que muitas vezes são ignorados pela comunidade.

Um dos mais extremos está relacionado à segurança de comunicações entre aplicativos e suas respectivos serviços na internet, uma das questões que requisitos como a ATS deveriam inspirar desenvolvedores no cumprimento de melhores práticas. Porém, não é isto que especialistas estão vendo: um estudo recente publicado por Will Strafach alerta sobre diversos aplicativos populares que estão suscetíveis a vulnerabilidades de interceptação de comunicações, mesmo protegidas por métodos de segurança, usando Transport Layer Security (TLS).

Strafach constatou o cenário enquanto desenvolvia o verify.ly, um produto sob assinatura que pretende apoiar desenvolvedores em analisar seus aplicativos em busca de diversas vulnerabilidades. No seu trabalho, estão listados 76 binários de empresas distintas. Ao todo, mais de 18 milhões de usuários são afetados por utilizá-los diariamente, especialmente alguns aplicativos que manipulam credenciais do Snapchat, por exemplo.

Na última edição da Worldwide Developers Conference (WWDC), em junho do ano passado, a Apple manifestou a expectativa de tornar o uso de ATS obrigatório no início deste ano, o que foi adiado em dezembro e não há expectativa de nova data-limite. Porém, mesmo observando suas melhores práticas, adotar ATS no seu estado atual não mitiga os riscos levantados por Strafach, pois código mal configurado ainda é capaz de fazer o iOS validar certas conexões sujeitas a interceptação como válidas — algo que provavelmente deve ter motivado o adiamento dos planos da Apple.

Para os usuários, escapar desses problemas ainda depende da adesão a práticas pouco adotadas e que também apresentam riscos de serem pouco efetivas, como aderir a um serviço de VPN ou evitar navegação em redes Wi-Fi públicas. No fim das contas, a melhor solução deveria partir dos desenvolvedores terceiros, que cada vez mais precisam estar esclarecidos sobre a importância de adotar segurança aprofundada nos seus processos e no desenho dos seus produtos.

[via ZDNet]

Posts relacionados

Comentários