Vulnerabilidade na biblioteca AFNetworking pode afetar 25 mil apps iOS

Recentemente foi descoberta uma vulnerabilidade encontrada na versão 2.5.1 da biblioteca AFNetworking, que permite aos desenvolvedores de aplicativos usar recursos de rede em seus apps. Embora o AFNetworking já tenha sido atualizado com correções, milhares de aplicativos iOS ainda não lançaram uma revisão e estão vulneráveis a ataques man-in-the-middle que podem descriptografar dados HTTPS.

A vulnerabilidade pode ser explorada usando qualquer certificado SSL válido para qualquer nome de domínio, desde que a credencial digital seja emitida por uma autoridade de certificação que o browser tenha como confiável.

Nate Lawson, o fundador da startup de análise de segurança SourceDNA, que publicou a descoberta, disse ao site Ars Technica que um atacante com qualquer certificado válido pode espionar ou modificar uma sessão SSL iniciada por um aplicativo com essa biblioteca falha.perigo Cryptoid 2

A falha é que o nome de domínio não é verificado no certificado, embora o certificado seja verificado para ter certeza de que foi emitido por uma autoridade confiável. Por exemplo, eu posso fingir ser “microsoft.com” apenas apresentando um certificado válido para “sourcedna.com”.

A notícia mais alarmante é que Lawson estima aproximadamente a quantidade assustadora de 25.000 aplicativos com a biblioteca vulnerável. Inicialmente foram estimados 1.500 apps sujeitos a ataques hacker, colocando informações sigilosas em risco. A empresa não está disponibilizando publicamente a lista dos nomes de muitos desses aplicativos, para dificultar a ação de hackers.

Vale lembrar que o erro presente no AFNetworking afeta somente os aplicativos que usam a biblioteca antiga de código. O aparelho em si e outros apps, incluindo navegadores, não são afetados pela falha, mesmo que uma ou mais aplicações no dispositivo estejam vulneráveis.

A SourceDNA disponibilizou uma ferramenta de busca para que usuários iOS possam verificar se os aplicativos que eles utilizam apresentam a falha.

Fonte: Tudo Celular

Posted on: 27/04/2015, by : Ti-Comex
%d blogueiros gostam disto: