. Falha na implementação de criptografia HTTPS em logins de apps Android expõe usuários - Tudo Sobre Tecnologia



Pesquisadores do AppBugs encontraram uma vulnerabilidade em diversos aplicativos Android na Play Store que podem expor as senhas dos usuários por uma falha na implementação da criptografia HTTPS nos logins, ou mesmo pela falta de utilização do recurso.


A lista dos aplicativos que foram detectados com o bug somam no total mais de 200 milhões de download na loja da Google. Mesmo após serem alertados sobre o problema, os desenvolvedores ainda não atualizaram as aplicações com uma correção. A lista inclui, por exemplo, o app oficial da Associação Nacional de Basquete (National Basketball Association), o serviço de encontros Match.com, a rede de supermercados Safeway, e o PizzaHut.
O CEO da AppBugs, Rui Wang, disse ao Ars Technica que o aplicativo do Match.com usaprotocolo não encriptado de transferência de ao enviar as senhas de usuários. Assim, alguém na mesma rede Wi-Fi pode monitorar as transferências e ler as credenciais através de ataques do tipo man-in-the-middle.
Outros aplicativos, como a NBA Game Time e o Safeway e PizzaHut, usam criptografia HTTPS, mas não implementam corretamente. Como resultado, um atacante pode usar um certificado digital auto-assinado falso ou outras formas de ler os dados de login.


Como exemplificado no vídeo abaixo, o resultado é simples. Quando a vítima digita sua senha no aplicativo, o atacante em uma máquina à parte é capaz de ver o que foi digitado, bem como o nome de usuário.
,

0 comentários Goocle+ 0 Facebook

Postar um comentário

 
Tudo Sobre Tecnologia © 2013-2020. Todos os direitos reservados. Tudo Sobre Tecnologia. Desenvolvido por TST
Topo