HTTPS instalado de forma incorreta expõe senhas de usuários da Google Play Store
22 de junho de 2015Aplicativos da Google Play Store oficial estão expondo senhas de usuários por falha na configuração do HTTPS
O motivo da brecha de segurança se dá devido aos apps em questão não implementarem corretamente a criptografia HTTPS durante logins ou até mesmo pela falta de uso do protocolo.
Juntos, os aplicativos com essa vulnerabilidade somam mais de 200 milhões de downloads na Google Play e permanecem vulneráveis mesmo após os desenvolvedores alertarem para o problema. Os aplicativos com a falha incluem títulos oficiais como o NBA Game Time, o serviço de namoro online Match.com, a cadeia de supermercados Safeway e a cadeia de restaurantes Pizza Hut.
A falha foi descoberta pelo AppBugs, uma empresa que ajuda os desenvolvedores a encontrar falhas de segurança em seus aplicativos e usuários móveis a identificar os apps com bugs de segurança em seus dispositivos.
De acordo com o CEO da companhia, Rui Wang, o Match.com utiliza um protocolo de transferência de hipertexto não criptografado para enviar as senhas de seus usuários. Isso facilita a vida de quem está mal-intencionado e abre a possibilidade de monitorar o tráfego, como alguém que está usando a mesma rede Wi-FI da vítima, por exemplo.
Outros aplicativos, como o NBA Game Time, Safeway e Pizza Hut usam criptografia HTTPS, mas não a implementaram corretamente.
Como resultado, um hacker pode usar um certificado digital fraudulento para ler os dados de login do usuário.
“O invasor poderia ser algum estranho que monitora o tráfego de uma rede Wi-Fi ou um roteador de internet comprometido que registra o tráfego silenciosamente”, explica Wang.
A AppBugs disse que informou o desenvolvedor do aplicativo da NBA sobre a vulnerabilidade no final de fevereiro, mas nunca recebeu uma resposta. Os desenvolvedores dos aplicativos do Match.com, Safeway e Pizza Hut, bem como outros 50 aplicativos, também não responderam à empresa de segurança. Ao todo, Wang disse ter descoberto 100 aplicativos com falha nas credenciais de login e somente 28 foram corrigidos.
Embora não seja uma tarefa difícil para o Google detectar tais falhas nos aplicativos que disponibiliza em seus próprios servidores, não há nenhuma indicação de que a gigante da web tenha feito isso.
Fonte: Arstechnica/Canaltech
