Para quem considerava que a loja de aplicações da Apple era totalmente segura, sendo que cada aplicação disponibilizada era controlada minuciosamente, então desengane-se!
Depois de serem analisados os binários das apps, através da plataforma verify.ly, desenvolvida por Will Strafach, descobriu-se que há pelo menos 76 aplicações bastante populares que não garantem a segurança dos dados dos utilizadores. Uma dessas apps é o Paypal…conheça outras!
Ao todo são 76 as aplicações que fazem parte de uma “lista negra” no que diz respeito à segurança dos dados. Estas apps estão organizadas em três categorias: risco baixo, médio e alto. O autor do estudo não divulgou o nome de todas as apps, mas destacou algumas aplicações como é o caso do Paypal, Kaspersky Safe Browser e Dell SecureWorks.
Outro dado curioso é o facto destas apps já terem sido descarregadas mais de 18 milhões de vezes da loja da Apple.
Algumas apps com risco baixo
- ooVo – Free Video Call, Text and Voice
- VivaVideo
- Snap Upload for Snapchat
- Uconnect Acess
- Volify
Apps de Risco médio e alto
- Experian
- Dell SecureWorks
- Cisco WebEx
- Paypal
- myFico
- Kaspersky Safe Browser
Mas qual é o problema destas apps?
Quando os protocolos de rede foram criados, dificilmente alguém imaginaria que se poderia chegar ao que é hoje neste gigante mundo da Internet. Além disso, os protocolos de segurança foram esquecidos, tendo sido posteriormente criados e adoptados para garantir a confidencialidade e integridade das comunicações. O SSL, desenvolvido pela Netscape, foi um desses protocolos, tendo sido posteriormente normalizado pelo IETF e ganho a designação Transport Layer Security (TLS).
Na prática, o SSL/TLS garante a segurança das ligações TCP, oferecendo um conjunto de mecanismos de segurança.
O problema de segurança da maioria das aplicações está precisamente no protocolo SSL/TLS, que garante a autenticidade, confidencialidade e integridade das mensagens trocadas entre cliente e servidor. Sem esta protecção, as comunicações passam a estar vulneráveis, uma vez que passa a ser possível escutar a comunicação através de ataques, designados de man-in-the-middle.
A culpa parece estar do lado dos programadores, que produziram código que permite ao protocolo TLS aceitar certificados digitais inválidos.
Como sugestão de segurança imediata é aconselhado que os utilizadores não usem estas apps em hotspots Wifi públicos.