17 Junho 2015
Recentemente foi descoberta uma vulnerabilidade encontrada na versão 2.5.1 da biblioteca AFNetworking, que permite aos desenvolvedores de aplicativos usar recursos de rede em seus apps. Embora o AFNetworking já tenha sido atualizado com correções, milhares de aplicativos iOS ainda não lançaram uma revisão e estão vulneráveis a ataques man-in-the-middle que podem descriptografar dados HTTPS.
A vulnerabilidade pode ser explorada usando qualquer certificado SSL válido para qualquer nome de domínio, desde que a credencial digital seja emitida por uma autoridade de certificação que o browser tenha como confiável.
Nate Lawson, o fundador da startup de análise de segurança SourceDNA, que publicou a descoberta, disse ao site Ars Technica que um atacante com qualquer certificado válido pode espionar ou modificar uma sessão SSL iniciada por um aplicativo com essa biblioteca falha.
A falha é que o nome de domínio não é verificado no certificado, embora o certificado seja verificado para ter certeza de que foi emitido por uma autoridade confiável. Por exemplo, eu posso fingir ser "microsoft.com" apenas apresentando um certificado válido para "sourcedna.com"
A notícia mais alarmante é que Lawson estima aproximadamente a quantidade assustadora de 25.000 aplicativos com a biblioteca vulnerável. Inicialmente foram estimados 1.500 apps sujeitos a ataques hacker, colocando informações sigilosas em risco. A empresa não está disponibilizando publicamente a lista dos nomes de muitos desses aplicativos, para dificultar a ação de hackers.
Vale lembrar que o erro presente no AFNetworking afeta somente os aplicativos que usam a biblioteca antiga de código. O aparelho em si e outros apps, incluindo navegadores, não são afetados pela falha, mesmo que uma ou mais aplicações no dispositivo estejam vulneráveis.
A SourceDNA disponibilizou uma ferramenta de busca para que usuários iOS possam verificar se os aplicativos que eles utilizam apresentam a falha.
Comentários