Quase 1500 Apps iOS têm uma vulnerabilidade que pode permitir a interceptação de dados sensíveis do usuário

1500 Apps para iPhones e iPads são vulneráveis a ataques Man-in-the-Middle (MiTM)

Se você está usando um iPhone/iPad ou iPod, deve estar preocupado, pois pesquisadores de segurança descobriram que cerca de 1.500 aplicativos para iPhone e iPad contêm uma vulnerabilidade HTTPS que pode ser explorada por hackers para realizar ataques man-in-the-middle (MiTM) e roubar senhas, dados bancários e outras informações privadas do usuário.

A vulnerabilidade na biblioteca de código AFNetworking, que permite que hackers realizem os ataques MiTM, foi descoberta pela SourceDNA. O Cult of Mac relata que a versão mais antiga da biblioteca de código AFNetworking tinha a vulnerabilidade e foi corrigida na versão 2.5.2, mas vários desenvolvedores de aplicativos não atualizaram seus aplicativos, deixando-os abertos a ataques.

A SourceDNA escaneou cerca de 1,4 milhão de aplicativos disponíveis na Apple App Store e descobriu que cerca de 1.500 aplicativos não foram atualizados para a versão mais recente da biblioteca de código AFNetworking. Embora o número seja bastante pequeno em relação ao total de aplicativos disponíveis na App Store, mesmo um único aplicativo não corrigido poderia permitir que criminosos cibernéticos realizassem um ataque MiTM para fins maliciosos.

Normalmente, um certificado de camada de soquete seguro falso seria detectado, fazendo com que a conexão fosse imediatamente encerrada, mas os pesquisadores descobriram que, devido a um erro de lógica no código, uma verificação de validação não é realizada. Isso significa que certificados fraudulentos são confiáveis por aplicativos que executam a versão 2.5.1 do AFNetworking.

“O problema ocorre mesmo quando o aplicativo móvel solicita à biblioteca que aplique verificações para validação do servidor em certificados SSL”, escreveram os pesquisadores. “Testamos o aplicativo em um dispositivo real e, inesperadamente, descobrimos que todo o tráfego SSL poderia ser regularmente interceptado através de um proxy como o Burp sem qualquer intervenção!”

Ars Technica relata que o número de aplicativos, incluindo Citrix OpenVoice Audio Conferencing, o aplicativo móvel Alibababa, Movies by Flixster com Rotten Tomatoes, KYBankAgent 3.0 e Revo Restaurant Point of Sale, ainda estava usando a versão vulnerável do AFNetworking, mas a maioria dos aplicativos comuns usados por usuários de iPhone/iPad e aplicativos da Microsoft, Yahoo e Uber foram corrigidos após uma divulgação privada aos desenvolvedores.