Um especialista em segurança chamado Will Strafach revelou que centenas de aplicativos presentes na App Store estão aptos a serem explorados por uma brecha de segurança descoberta por ele. Pelo menos 76 softwares populares, entretanto, já podem ser considerados vulneráveis, de acordo com a análise.
A brecha permite que haja interceptação de dados que deveriam ser protegidos por criptografia. Os 76 apps indicados como perigosos já acumulam mais de 18 milhões de downloads e a Apple não tem como resolver a questão, já que o problema não está no seu sistema, e sim na construção dos aplicativos.
Trinta e três dos 76 apps apresentam uma vulnerabilidade baixa; 24 entram numa escala média; e 19 oferecem riscos sérios, já que um hacker poderia extrair deles informações sensíveis como credenciais financeiras e tokens de autenticação.
O especialista descobriu tudo isso durante o desenvolvimento da sua plataforma móvel para análises, chamada verify.ly. Ao escanear automaticamente e em massa o código binário dos produtos presentes na App Store, ele acabou esbarrando no problema. Embora tenha percebido que há centenas de aplicativos passíveis de exploração, apenas esses 76 puderam ter a brecha confirmada — o que foi feito com o uso de um iPhone rodando iOS 10 e a aplicação de um proxy malicioso que inseria um certificado TLS inválido na conexão.
A lista dos afetados inclui vários apps que permitem gerenciar contas do Snapchat; os serviços de VPN Private Browser, vpn free e Vpn One Click Professional; o Music tube; e até um escâner chamado Code Scanner by ScanLife (veja todos).
Só que Strafach publicou apenas os nomes dos aplicativos com baixa vulnerabilidade; os demais devem ser divulgados dentro de 60 a 90 dias, o ele que fará “depois de procurar os bancos, provedores médicos e outros desenvolvedores de aplicações que estão vulneráveis”.
Para os usuários, a recomendação para evitar dores de cabeça é nunca usar redes públicas de Wi-Fi para acessar serviços sensíveis. Aos desenvolvedores, Strafach faz um alerta: “Seja extremamente cuidadoso quando estiver inserindo códigos relacionados a rede e mudando comportamentos dos aplicativos. Muitas questões como essa surgem de um desenvolvedor de aplicativos que não entendeu totalmente o código que ele pegou emprestado da internet.”