RSS

App Store ficou sem proteção por criptografia durante meses

30 maio

John P. Mello Jr., CSO / EUA

A App Store operou por meses sem que recebesse proteção pelo protocolo de criptografia SSL, de acordo com pesquisadores. A Apple anunciou que corrigiu o problema em janeiro, mas os especialistas que descobriram a falha não escreveram sobre ela até este mês.

“Estou muito feliz que esse trabalho que desenvolvo como hobby tenha incentivado a Apple a finalmente ativar o HTTPS para proteger os usuários”, escreveu Elie Bursztein, que trabalha em tempo integral no Google, em seu blog pessoal.

A gigante de Cupertino não comentou sobre o caso imediatamente.

Bursztein, junto com Bernhard “Bruhns” Brehm da empresa de segurança Labs Recurity e Rahul Iyer da Bejoi, descobriu em julho de 2012 que as comunicações entre a App Store e consumidores que utilizam da loja não eram criptografadas.

Essa deficiência deixou os usuários vulneráveis a vários tipos de ataque em redes públicas, como as encontradas em uma loja no aeroporto ou café, de acordo com Bursztein.

Os ataques potenciais incluíam:

Roubo de senhas
Quando um usuário acessa a App Store, um cracker poderia exibir uma tela de solicitação de senha falsa durante o processo, efetivamente levando o usuário a entregar sua senha. “O Apple ID controla seu cartão de crédito para a compra de música e aplicativos, que controla todos os seus backups com todos os seus contatos”,  disse o conselheiro de segurança da Sophos, Chet Wisniewski, em uma entrevista. “Isso é uma coisa muito sensível. A Apple ID é semelhante ao Facebook e Google. Uma vez hackeado, ele abre portas para toda a sua vida digital.”

Aplicativos falsos
O usuário poderia ser enganado para instalar um aplicativo enviado pelo cracker quando pensam que estão instalando softwares legítimos. Um aplicativo que custa dinheiro pode ser substituído por um aplicativo gratuito, também.

Falsas atualizações
Cibercriminosos poderiam enganar o usuário a instalar outra coisa que não a atualização do aplicativo eles pensam que estão recebendo.

Prevenção de instalação
Isso evitaria um aplicativo de ser instalado na máquina, removendo-o da loja ou enganando o dispositivo para que ele pense que o aplicativo já foi instalado.

Espionagem de aplicativos
O mecanismo de atualização da App Store poderia ser acessado e todos os aplicativos instalados no dispositivo de um usuário poderiam ser vistos por um cracker.

Com as comunicações da App Store vulneráveis ??por tanto tempo, é um milagre que um ataque significativo não tenha ocorrido, disse o CSO da Rapid7, HD Moore.

“Eu vi a comunidade hacker falando sobre isso e demonstrando diferentes técnicas”, disse ele, “mas é surpreendente que não tenha havido qualquer ataque em escala mais ampla.”

Um fator limitante, ele explicou, é que o atacante tem que estar na mesma área física que o alvo – ou no mesmo segmento local ou na mesma rede sem fio – para realizá-lo.

View the original article here

This post was made using the Auto Blogging Software from WebMagnates.org This line will not appear when posts are made after activating the software to full version.

 
Deixe um comentário

Publicado por em 30 de maio de 2013 em Tecnologia

 

Tags: , , , , ,

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

 
%d blogueiros gostam disto: