Home > Notícias

App Store ficou sem proteção por criptografia durante meses

Falha foi corrigida em janeiro, mas somente agora especialista que a descobriu decidiu divulgá-la ao público

John P. Mello Jr., CSO / EUA

11/03/2013 às 19h35

appstore_43501.jpg
Foto:

A App Store operou por meses sem que recebesse proteção pelo protocolo de criptografia SSL, de acordo com pesquisadores. A Apple anunciou que corrigiu o problema em janeiro, mas os especialistas que descobriram a falha não escreveram sobre ela até este mês.

"Estou muito feliz que esse trabalho que desenvolvo como hobby tenha incentivado a Apple a finalmente ativar o HTTPS para proteger os usuários", escreveu Elie Bursztein, que trabalha em tempo integral no Google, em seu blog pessoal.

A gigante de Cupertino não comentou sobre o caso imediatamente.

Bursztein, junto com Bernhard "Bruhns" Brehm da empresa de segurança Labs Recurity e Rahul Iyer da Bejoi, descobriu em julho de 2012 que as comunicações entre a App Store e consumidores que utilizam da loja não eram criptografadas.

Essa deficiência deixou os usuários vulneráveis a vários tipos de ataque em redes públicas, como as encontradas em uma loja no aeroporto ou café, de acordo com Bursztein.

Os ataques potenciais incluíam:

Roubo de senhas
Quando um usuário acessa a App Store, um cracker poderia exibir uma tela de solicitação de senha falsa durante o processo, efetivamente levando o usuário a entregar sua senha. "O Apple ID controla seu cartão de crédito para a compra de música e aplicativos, que controla todos os seus backups com todos os seus contatos",  disse o conselheiro de segurança da Sophos, Chet Wisniewski, em uma entrevista. "Isso é uma coisa muito sensível. A Apple ID é semelhante ao Facebook e Google. Uma vez hackeado, ele abre portas para toda a sua vida digital."

Aplicativos falsos
O usuário poderia ser enganado para instalar um aplicativo enviado pelo cracker quando pensam que estão instalando softwares legítimos. Um aplicativo que custa dinheiro pode ser substituído por um aplicativo gratuito, também.

Falsas atualizações
Cibercriminosos
poderiam enganar o usuário a instalar outra coisa que não a atualização do aplicativo eles pensam que estão recebendo.

Prevenção de instalação
Isso evitaria um aplicativo de ser instalado na máquina, removendo-o da loja ou enganando o dispositivo para que ele pense que o aplicativo já foi instalado.

Espionagem de aplicativos
O mecanismo de atualização da App Store poderia ser acessado e todos os aplicativos instalados no dispositivo de um usuário poderiam ser vistos por um cracker.

Com as comunicações da App Store vulneráveis ​​por tanto tempo, é um milagre que um ataque significativo não tenha ocorrido, disse o CSO da Rapid7, HD Moore.

"Eu vi a comunidade hacker falando sobre isso e demonstrando diferentes técnicas", disse ele, "mas é surpreendente que não tenha havido qualquer ataque em escala mais ampla."

Um fator limitante, ele explicou, é que o atacante tem que estar na mesma área física que o alvo - ou no mesmo segmento local ou na mesma rede sem fio - para realizá-lo.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail