Página Inicial



twitter

Facebook

  Notícia
|

 

APPS MÓVEIS: PELO MENOS 6 MIL SEGUEM IMPACTADOS PELO HEARTBLEED

18/04/2014

O impacto da vulnerabilidade Heartbleed em aplicativos para dispositivos móveis segue causando prejuízo. A última verificação realizada pela Trend Micro, empresa especializada em segurança, apontou que cerca de 6 mil – 85,7% – dos 7 mil aplicativos que estavam conectados a servidores vulneráveis ao Heartbleed​​ ainda estão sendo afetados.

As categorias de aplicativos monitoradas foram definidas a partir daqueles que são considerados potencialmente sensíveis na medida em que podem armazenar informações pessoais dos usuários no servidor. Grande parte das aplicações é de estilo de vida – com elas, é possível pedir comida, itens de supermercado, equipamentos, leitura de livros, cupons, roupas, móveis etc. Isso significa que se um usuário pedir comida ou suprimentos por meio de um desses aplicativos afetados, informações sobre seu pedido, inclusive credenciais de usuário, sobre o endereço de residência e até o número do cartão de crédito podem ser divulgados.

Biblioteca OpenSSL no Android 4.1.1 e em alguns aplicativos

A Trend Micro também alerta que, embora o problemático OpenSSL seja integrado ao sistema Android, apenas a versão Android 4.1.1 é afetada pela vulnerabilidade do Heartbleed. Para dispositivos com essa versão, qualquer aplicativo instalado com OpenSSL – usado para estabelecer conexões SSL/TLS ­– está possivelmente afetado e pode ser comprometido para obtenção de informações do usuário a partir da memória do dispositivo. No entanto, mesmo que o dispositivo não esteja utilizando a versão afetada, ainda há a questão dos próprios aplicativos. Foram encontrados 273 no Google Play que são empacotados junto com a biblioteca autônoma OpenSSL afetada, o que significa que estes aplicativos podem ser comprometidos em qualquer dispositivo.

Nesta lista, estão os jogos mais populares do ano passado, alguns clientes VPN, um aplicativo de segurança, um popular leitor de vídeo, um aplicativo de mensagens instantâneas, um aplicativo VOIP de telefone e muitos outros. Muitos aplicativos são dos principais desenvolvedores e a vulnerabilidade foi encontrada também nas versões antigas de aplicativos do Google. Todos eles se conectam estaticamente com a biblioteca OpenSSL vulnerável.

Um ataque Heartbleed invertido do lado do cliente é possível se os servidores remotos conectados nestes aplicativos estão comprometidos e ele pode também expor a memória do dispositivo do usuário a um cibercriminoso. A memória pode conter qualquer informação sensível armazenada localmente nesses aplicativos. Se um cliente usar VPN vulnerável ou aplicativo VOIP para ligar a um serviço corrompido, a chave pessoal ou outras informações de credencial podem ser perdidas e então o hacker terá obtido acesso a esses dados.

A empresa aconselha aos desenvolvedores de aplicativos que aumentem a velocidade de atualização da biblioteca OpenSSL e disponibilize-a aos usuários finais. Para os usuários em geral, é preciso estar ciente do fato de observarem o vazamento de informações, não importando o quão seguro o servidor remoto é ou a boa reputação e confiabilidade do desenvolvedor do aplicativo.

 
 
Fonte: Convergencia Digital

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar