Últimas notícias

Fique informado
HTTPS instalado de forma incorreta expõe senhas de usuários da Google Play Store

HTTPS instalado de forma incorreta expõe senhas de usuários da Google Play Store

22 de junho de 2015

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

SSL e TLS: seu servidor precisa de ‘forward secrecy’

Mas por que isso é tão importante no seu servidor? Ainda mais nesse cenário em que tantas vulnerabilidades (Heartbleed, POODLE..) que tem afetado o uso do SSL e TLS?

22 de junho de 2015
 Aplicativos da Google Play Store oficial estão expondo senhas de usuários por falha na configuração do HTTPS

O motivo da brecha de segurança se dá devido aos apps em questão não implementarem corretamente a criptografia HTTPS durante logins ou até mesmo pela falta de uso do protocolo.

Juntos, os aplicativos com essa vulnerabilidade somam mais de 200 milhões de downloads na Google Play e permanecem vulneráveis mesmo após os desenvolvedores alertarem para o problema. Os aplicativos com a falha incluem títulos oficiais como o NBA Game Time, o serviço de namoro online Match.com, a cadeia de supermercados Safeway e a cadeia de restaurantes Pizza Hut.

A falha foi descoberta pelo AppBugs, uma empresa que ajuda os desenvolvedores a encontrar falhas de segurança em seus aplicativos e usuários móveis a identificar os apps com bugs de segurança em seus dispositivos.

De acordo com o CEO da companhia, Rui Wang, o Match.com utiliza um protocolo de transferência de hipertexto não criptografado para enviar as senhas de seus usuários. Isso facilita a vida de quem está mal-intencionado e abre a possibilidade de monitorar o tráfego, como alguém que está usando a mesma rede Wi-FI da vítima, por exemplo.

Outros aplicativos, como o NBA Game Time, Safeway e Pizza Hut usam criptografia HTTPS, mas não a implementaram corretamente.

Como resultado, um hacker pode usar um certificado digital fraudulento para ler os dados de login do usuário.

“O invasor poderia ser algum estranho que monitora o tráfego de uma rede Wi-Fi ou um roteador de internet comprometido que registra o tráfego silenciosamente”, explica Wang.

A AppBugs disse que informou o desenvolvedor do aplicativo da NBA sobre a vulnerabilidade no final de fevereiro, mas nunca recebeu uma resposta. Os desenvolvedores dos aplicativos do Match.com, Safeway e Pizza Hut, bem como outros 50 aplicativos, também não responderam à empresa de segurança. Ao todo, Wang disse ter descoberto 100 aplicativos com falha nas credenciais de login e somente 28 foram corrigidos.

Embora não seja uma tarefa difícil para o Google detectar tais falhas nos aplicativos que disponibiliza em seus próprios servidores, não há nenhuma indicação de que a gigante da web tenha feito isso.

Fonte: Arstechnica/Canaltech