Criptografia insuficiente em aplicativos Android

 Criptografia insuficiente em aplicativos AndroidPesquisadores descobriram condições catastróficas quando analisando aplicativos Android que usam criptografia: mais de 1.000 dos 13.500 aplicativos Android mais populares mostraram sinais de uma implementação falha e insegura do protocolo de criptografia SSL/TLS. Testes executados em 100 aplicativos selecionados confirmaram que 41 deles estavam vulneráveis a ataques conhecidos. Os pesquisadores recolheram detalhes bancários e de cartões de crédito dos usuários, além de tokens de acesso para suas contas Facebook, Twitter e de email, e serviços de mensagens.

Em um texto particularmente ousado, os pesquisadores injetaram uma assinatura de vírus falsa no Zoner AntiVirus for Android que se referia ao próprio aplicativo. O antivírus diligentemente procedeu em se classificar como uma ameaça e imediatamente ofereceu-se para remoção.

Os pesquisadores primeiro examinaram os aplicativos por sinais típicos de que o código pode conferir de forma insuficiente os certificados que verificam a identidade do parceiro de comunicação. Como eles não podiam estar completar certos de que o código identificado estava sendo realmente usado, eles então realizaram ataques man-in-the-middle direcionados para quebrar a conexão criptografada.

As vulnerabilidades que encontraram podem ser divididas em duas categorias: 20 aplicativos simplesmente aceitaram qualquer certificado, já outros 21 conferiram se o certificado carregava um assinatura válida, mas não verificaram se o ele fora emitido para o nome correto. Isso permitiu que os especialistas de segurança enganassem o software de antivírus com uma certificação válida para seu próprio servidor.

Os pesquisadores da Universidade Leibniz, em Hannover, e da Universidade Philips, em Marburg, compilaram seus achados em um trabalho intitulado “Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security”. Eles planejam lançar a ferramenta MalloDroid que eles desenvolveram para sua análise de código em um futuro próximo. Embora os especialistas não revelarem nenhum nome, os aplicativos afetados foram escolhidos entre os mais populares: de acordo com o Google Play, os aplicativos afetados pelas vulnerabilidades foram instalados entre 39,5 e 180 milhões de vezes.

Fonte: Linux Magazine