A falha FREAK ainda afeta centenas dos apps mais populares no iOS e Android

Nos últimos dias, Google, Apple e Microsoft resolveram a falha FREAK em seus navegadores web: ela permitia quebrar a criptografia ao acessar sites que deveriam ser seguros, desde bancos a sites do governo.

Infelizmente, a falha não acabou de vez: entre os apps mais populares para iOS e Android, pesquisadores descobriram que até dois mil ainda estão vulneráveis. Ugh.

Por que isso acontece? Bem, o tráfego seguro de internet (HTTPS) requer o uso de bibliotecas OpenSSL ou suas variantes, onde está presente a falha. Para se livrar dela, é preciso atualizar essas bibliotecas – e nem todo app fez isso.

Android e iOS

Por isso, entre os 10.985 apps mais populares no Google Play, 1.228 estão vulneráveis à FREAK. Estes apps foram baixados, no total, mais de 6,3 bilhões de vezes.

No Android, o problema é um pouco mais grave porque o Google não pode resolver a falha sozinho: quase metade dos apps afetados usam bibliotecas OpenSSL próprias, não as embutidas no sistema – e precisam atualizá-las de forma independente.

No iOS, apenas sete apps populares usam bibliotecas OpenSSL próprias: por isso, eles continuam afetados pela FREAK no iOS 8.2. Em versões anteriores do sistema, 771 apps são suscetíveis à falha.

Todos esses apps merecem uma conexão mais segura: segundo a empresa de segurança FireEye, eles se encaixam nas categorias de finanças, comunicação, compras, negócios e medicina. Ela não revela o nome dos apps, provavelmente para não facilitar ataques.

O estudo foi feito em 10 de março. A equipe não analisou apps do Windows Phone nem de outras plataformas.

A brecha

A falha existe devido a uma política dos EUA nos anos 1990. Na época, empresas que exportavam tecnologia eram obrigadas a “enfraquecer” chaves de criptografia. Quando você usa uma chave RSA feita para exportação, é possível quebrar a criptografia em questão de horas – e a FREAK permite obrigar o app a aceitar essa chave.

Assim, é possível roubar credenciais de login:

Falha FREAK em apps (1)

E até mesmo números de cartão de crédito:

Falha FREAK em apps (2)

E agora? O jeito é esperar: “recomendamos que os desenvolvedores de apps e administradores de sites corrijam esse problema o mais rápido possível”, diz a FireEye.

Infelizmente, essas falhas de segurança são tão disseminadas que levam um bom tempo até serem corrigidas – foi o caso do Heartbleed, por exemplo.

A FREAK afetou até mesmo a BlackBerry, que se gaba de seu alto nível de segurança: se você usa o BlackBerry 10 ou o BBM no Android/iOS/Windows Phone, baixe a versão mais recente para se livrar da falha. [FireEye via InfoWorld]

Foto por Ervins Strauhmanis/Flickr

You may also like...

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *