APPs iOS vulneráveis a ataques de interceptação TLS

Por: CiberSek

Dezenas de serviços móveis iOS, aplicações médicas e outras que lidam com informações sensíveis do utilizador são vulneráveis a ataques man-in-the-middle onde o tráfego TLS pode ser interceptado.

Das 76 aplicações analisadas pelo Sudo Security Group, 19 são considerados de alto risco, onde credenciais financeiras ou médicas, ou tokens de autenticação, podem ser extraidas por um invasor na rede local.

Estes aplicativos não foram nomeados pelos pesquisadores, que este fim de semana começou a notificar os programadores afetados. O CEO Will Strafach disse à Threatpost que os aplicativos contêm código de rede que aceita certificados auto-assinados, um recurso provavelmente deixado por desenvolvedores para depuração. Os aplicativos, por sua vez, aceitarão qualquer certificado auto-assinado e permitirão que um invasor apresente seu próprio certificado em um fluxo de tráfego e redirecione supostamente dados seguros à sua maneira. Ele nomeou todos os aplicativos de baixo risco afetados em um relatório publicado ontem; Aqueles considerados em médio e alto risco terão entre 60 e 90 dias para remediar antes de serem publicamente identificados, Strafach disse.

“Um atacante pode auto-assinar o seu próprio cert, criar uma ferramenta de proxy man-in-the-middle e tê-lo apresentar seu cert personalizado e homem-no meio qualquer conexão nas proximidades”, disse Strafach. “A melhor teoria que tenho é que os desenvolvedores de aplicativos colocar no código para que eles possam testar internamente os aplicativos em servidores de teste. Servidores internos não estão na rede pública, então eles precisam usar um cert auto-assinado e eu acho que eles não remover o código. ”

Strafach salientou que isso não é algo que a Apple pode consertar sem quebrar a segurança já presente em muitos dos aplicativos. Por exemplo, alguns aplicativos personalizados funcionam atrás do firewall e usam certs auto-assinados que são fixados em um conjunto interno confiável de certificados ou chaves públicas. O recurso de segurança de transporte de aplicativos da Apple, introduzido no iOS 9 e força as aplicações a se conectarem via HTTPS, seria ineficaz contra essa configuração incorreta, disse Strafach. O ATS veria o certificado TLS, consideraria essas conexões como conexões TLS válidas e colocaria a validação de certificado nas mãos do aplicativo.

Das 76 aplicações analisadas (um total de 18 milhões de downloads), 33 são consideradas de baixo risco, diz Strafach, porque a maioria dos dados em risco são dados de dispositivos ou um conjunto limitado de informações pessoais. Duas dúzias outros são um risco médio e 19 são de alto risco, disse ele, confirmando pessoalmente a capacidade de interceptar credenciais ou tokens de sessão para utilizadores autenticados.

“Esta é realmente uma coisa que os programadores precisam para se certificar de que estão certos. Se a Apple bloquear isso, isso causaria mais problemas e deixaria os aplicativos menos seguros “, disse Strafach. “Os programadores precisam ter cuidado com o nível de código que estão colocando nas APPs. Se eles estiverem usando certificados auto-assinados para testar aplicativos, se eles não tiverem o cuidado de remover esse código, isso representa um grande risco para os usuários. ”

Os utilizadores podem evitar esta situação desligando o Wi-Fi em situações onde informações confidenciais estão sendo enviadas através de uma rede pública, uma vez que a maioria desses ataques acontecerá por Wi-Fi, disse ele. Strafach disse que a vulnerabilidade ainda está presente numa rede celular, mas os ataques são muito mais complicados e dispendiosos do que o Wi-Fi, diminuindo o risco.

Mais: CiberSek