Página Inicial



twitter

Facebook

  Notícia
|

 

APP STORE OPEROU SEM PROTEÇÃO DE CRIPTOGRAFIA DURANTE MESES

14/03/2013

A App Store operou por meses sem que recebesse proteção pelo protocolo de criptografia SSL, de acordo com pesquisadores. A Apple anunciou que corrigiu o problema em janeiro, mas os especialistas que descobriram a falha não escreveram sobre ela até este mês.

"Estou muito feliz que esse trabalho que desenvolvo como hobby tenha incentivado a Apple a finalmente ativar o HTTPS para proteger os usuários", escreveu Elie Bursztein, que trabalha em tempo integral no Google, em seu blog pessoal.

A gigante de Cupertino não comentou sobre o caso imediatamente.

Bursztein, junto com Bernhard "Bruhns" Brehm da empresa de segurança Labs Recurity e Rahul Iyer da Bejoi, descobriu em julho de 2012 que as comunicações entre a App Store e consumidores que utilizam da loja não eram criptografadas.

Essa deficiência deixou os usuários vulneráveis a vários tipos de ataque em redes públicas, como as encontradas em uma loja no aeroporto ou café, de acordo com Bursztein.

Os ataques potenciais incluíam:

Roubo de senhas
Quando um usuário acessa a App Store, um cracker poderia exibir uma tela de solicitação de senha falsa durante o processo, efetivamente levando o usuário a entregar sua senha. "O Apple ID controla seu cartão de crédito para a compra de música e aplicativos, que controla todos os seus backups com todos os seus contatos",  disse o conselheiro de segurança da Sophos, Chet Wisniewski, em uma entrevista. "Isso é uma coisa muito sensível. A Apple ID é semelhante ao Facebook e Google. Uma vez hackeado, ele abre portas para toda a sua vida digital."

Aplicativos falsos
O usuário poderia ser enganado para instalar um aplicativo enviado pelo cracker quando pensam que estão instalando softwares legítimos. Um aplicativo que custa dinheiro pode ser substituído por um aplicativo gratuito, também.

Falsas atualizações
Cibercriminosos
 poderiam enganar o usuário a instalar outra coisa que nãoa atualização do aplicativo eles pensam que estão recebendo.

Prevenção de instalação
Isso evitaria um aplicativo de ser instalado na máquina, removendo-o da loja ou enganando o dispositivo para que ele pense que o aplicativo já foi instalado.

Espionagem de aplicativos
O mecanismo de atualização da App Store poderia ser acessado e todos os aplicativos instalados no dispositivo de um usuário poderiam ser vistos por um cracker.

Com as comunicações da App Store vulneráveis ​​por tanto tempo, é um milagre que um ataque significativo não tenha ocorrido, disse o CSO daRapid7, HD Moore.

"Eu vi a comunidade hacker falando sobre isso e demonstrando diferentes técnicas", disse ele, "mas é surpreendente que não tenha havido qualquer ataque em escala mais ampla."

Um fator limitante, ele explicou, é que o atacante tem que estar na mesma área física que o alvo - ou no mesmo segmento local ou na mesma rede sem fio - para realizá-lo.
 
 
 
Fonte: Computerworld

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar