Descalvado, 16 de Dezembro de 2018 Busca:   
Brasil e Mundo

Falha deixa 25 mil apps de iOS vulneráveis a interceptação de dados

28/04/2015

\"AFNetworking\" tem erro de verificação de sites.\r\nAplicativos bancários também fazem uso do código.\r\n\r\n\r\nA empresa SourceDNA, especializada em análise e monitoramento de apps para plataformas móveis, alertou na sexta-feira 24 sobre a existência de uma falha que deixa vulneráveis 25 mil apps para iOS, inclusive programas de instituições financeiras do Brasil. A brecha está localizada em uma biblioteca de código chamada AFNetworking, que deixa aplicativos vulneráveis a ataques de interceptação de dados.\r\n\r\nO AFNetworking facilita a inclusão de funções de rede em aplicativos para iOS. Ou seja, esse código é instalado junto de outros apps e não diretamente pelo usuário. Como ele é reaproveitado por vários desenvolvedores, uma brecha nesse código impacta os milhares de apps que o utilizam.\r\n\r\nA falha está na validação de certificados digitais para sites seguros SSL. O SSL é a tecnologia que mostra o \"cadeado\" de segurança em sites de internet. O cadeado só pode ser exibido quando um site possui um certificado digital válido e se esse certificado corresponde ao site visitado. Dessa maneira, um criminoso não pode usar um certificado obtido para outro site para criar uma página clonada de um endereço seguro.\r\n\r\nPor causa da vulnerabilidade, o AFNetworking não verifica se o certificado digital corresponde ao site visitado. Com isso, um criminoso pode criar um site clonado e redirecionar o tráfego do app para esse site, usando qualquer certificado digital válido. Certificados digitais válidos podem ser obtidos gratuitamente pelos golpistas.\r\n\r\nO ataque é mais fácil de ser realizado em redes Wi-Fi públicas. Nessas redes, um criminoso presente no local poderia redirecionar o site acessado pelo app para interceptar o tráfego e obter todos os dados, inclusive as senhas, que foram transmitidas pelo app de forma supostamente segura.\r\n\r\nA brecha no AFNetworking já foi corrigida. Desenvolvedores podem integrar a versão mais nova do código e atualizar o app para eliminar a vulnerabilidade. Mas isso precisa ser feito para cada aplicativo.\r\n\r\nA SourceDNA disponibilizou uma página de consulta para verificar se um app está ou não vulnerável. O G1 pesquisou por apps de cinco dos maiores bancos brasileiros: Banco do Brasil, Bradesco, Caixa Econômica Federal, Itaú e Santander. Apps do Bradesco e do Itaú apareceram na lista como vulneráveis.\r\n\r\nO G1 solicitou um posicionamento do Bradesco e do Itaú para saber se os apps estavam mesmo vulneráveis e quais medidas seriam tomadas. As instituições também foram questionadas se os apps tinham algum recurso de segurança extra que impediria a falha de ser explorada na prática.\r\n\r\nLeia abaixo a resposta do Bradesco:\r\nO Bradesco esclarece que está atualizando todas as versões dos apps que utilizam AFNetworking. É importante ressaltar que essa API somente é utilizada no ambiente institucional, sem acesso a dados sigilosos. O ambiente transacional de seus apps é seguro e não é vulnerável. O acesso à conta e a realização de transações ocorrem em ambiente seguro. As transações realizadas nos Canais Digitais do banco, além de utilizar senha, são autenticadas pela Chave de Segurança Bradesco ou pela Biometria da palma da mão, de acordo com o canal utilizado.\r\n\r\nNo caso dos smartphones, o M-Token, que gera as Chaves de Segurança, está integrado aos aplicativos. Estas chaves são dinâmicas e aleatórias, mudando em segundos. Informamos ainda que o banco trabalha em um processo contínuo de aprimoramento dos produtos e serviços disponíveis aos clientes. Na questão de segurança, por exemplo, possui sistemas de monitoramento, que analisam as transações em tempo real.\r\n\r\nLeia a resposta do Itaú:\r\nO Itaú esclarece que seus aplicativos móveis não são vulneráveis a esse risco. O banco investe constantemente em tecnologia e segurança com objetivo não somente de proteger os dados dos clientes, mas também de oferecer serviços cada vez mais ágeis e inovadores.\r\n,\r\nG1



Voltar




 
















Notícias
Descalvado
Câmara Municipal
Esporte
Notas Policiais
Região
Brasil e Mundo
Geral
Música
Fotos
Canais
Conheça Nossa Cidade
Boca no Trombone
Horóscopo do Dia
Previsão do Tempo
Guia Rodoviário
Política Agora
Blogs e Colunas
Cozinhando com Aline
Marcos Felipe Chiaretto
Mexa-se
Utilidade Pública
Farmácia de Plantão
Balcão de Empregos
Notas de Falecimento
Guia Comercial
Consulte Multas
Interativo
Fale Conosco
Sugestão de Matérias
Anuncie no Descalvado Agora
Empregos
Fale Conosco
Descalvado Agora 2009-2018 - Todos os direitos reservados