Falha de segurança HTTPS afecta milhões de utilizadores iOS

A segurança é um exercício contínuo no mundo da informática, não há uma segurança absoluta e por vezes a investigação pormenorizada descobre falhas gravíssimas.

Agora, foi descoberta uma falha encontrada em aplicações para iPhone e iPad que deixa vulneráveis milhões de utilizadores. Esta falha está presente no código de terceiros que as apps usam para estabelecer ligações seguras HTTPS aos serviços Web.

A falha foi localizada numa biblioteca open-source que se chama AFNetworking. Esta biblioteca é usadas por centenas de milhares de aplicações para iOS e OS X para estabelecerem comunicações com serviços Web.

Qual é a acção do bug?

O bud desliga a validação do certificado digital presente nos servidores quando é estabelecida uma conexão segura HTTPS (HTTP sobre SSL/TLS). Isto quer dizer que os atacantes terã,o aqui neste ponto, uma forma de interceptar tráfego cifrado nas aplicações afectadas pela falha que poderão desencriptar e modificar a informação recorrendo a um certificado falso.

Este ataque, bem conhecido pelo nome ataque man-in-the-middle ou em tradução livre, ataque homem no meio, pode ser lançado a partir de uma rede wireless insegura, como a de um café, de um aeroporto ou mesmo de um hotel, alterando o router e introduzindo o método necessário para fazer estas alterações. Algo que se tem vindo a mostrar simples.

Qual é o impacto no ecossistema iOS?

Embora existam milhões de users que possam usar estas apps que estão vulneráveis, na verdade o impacto é difícil de avaliar, isto porque a falha está presente somente em aplicações que usam uma versão da biblioteca em particular, a AFNetworking—2.5.1, que foi lançada a 9 de fevereiro deste ano. Mesmo nessa versão somente estão em causa as apps que se baseavam em funcionalidades SSL/TLS da biblioteca.

Haverá ainda aplicações vulneráveis?

Haver há, contudo as apps que já actualizaram a biblioteca para a versão sem falha, a AFNetworking 2.5.2, lançada no passado dia 26 de Março, estão livres. A falha esteve somente seis semanas à "disposição", mas foram muitas as apps que a utilizaram.

Para saber ao certo quantas apps estão ainda por actualizar a biblioteca e que estão vulneráveis ao estabelecer comunicação segura HTTPS, uma empresa chamada SourceDNA que vigia o uso de componentes de terceiros nas apps para iOS e Android, diz ter um número para a pergunta!

Existem mais de 100.000 aplicações iOS, para além das 1,4 milhão que estão na App Store, que usam a biblioteca AFNetworking, conforme podemos ler num post que a empresa publicou nesta segunda-feira. Destas, cerca de 20.000 foram actualizadas ou lançadas durante o tempo em que existia a vulnerabilidade.

A SourceDNA criou uma assinatura para o código AFNetworking vulnerável e inspeccionou essas 20.000 apps para ver quantas estavam vulneráveis. O exame mostrou que 55% estavam a usar a versão mais antiga e segura da biblioteca, a versão 2.5.0, por outro lado 40% das restantes não utilizavam de todo a API vulnerável SSL/TLS e que somente 5%, cerca de mil aplicações estavam vulneráveis.

Claro que se mil em 100 mil estiverem vulneráveis nem soa muito mal, mas isso tem um lado bastante mais "perverso". Na verdade, nestas apps estão incluídos fornecedores de alto perfil, como a Yahoo, Microsoft (com a sua app OneDrive), Uber Technologies, Citrix entre outros. Alguns fornecedores, incluindo Yahoo, já corrigiram as suas aplicações, mas outros continuam vulneráveis, por isso a SourceDNA criou um site que permite aos utilizadores verificar se as suas aplicações que estão instaladas estão ou não vulneráveis.

E o que se deve fazer se estiverem?

Basicamente é detectar qual a funcionalidade que executam com essa app e, enquanto esta não for actualizada, evitar fazer utilização da mesma. A título de exemplo, se uma destas apps estiver vulnerável e a usar para consultar a sua conta bancária... simplesmente não o faça.