Vulnerabilidade no iOS deixa hackers roubarem dados de contas

1 min de leitura
Imagem de: Vulnerabilidade no iOS deixa hackers roubarem dados de contas
Fonte: iFixit
Avatar do autor

Pesquisadores da empresa de segurança Trend Micro demonstraram um novo ataque voltado para iPhones e iPads que permite o roubo de informações sensíveis presentes em aplicativos. A brecha existe na exploração de implementação de esquemas de URL, algo muito usado por desenvolvedores iOS.

O funcionamento do iOS é claro: aplicativos rodam em um sandbox próprio e dedicado, o que aumenta a segurança do usuário. Contudo, aplicações podem conversar entre si por meio de alguns métodos para compartilhamento limitado de dados — e a brecha é explorada nesses métodos.

A Trend Micro pediu para que desenvolvedores iOS façam uma rechecagem em seus apps

O esquema de URL (Deep Linking) é o que permite a inicialização de aplicativos por meio de URLs. Entre elas, estão “facetime://”, “fb-messenger://” e “whatsapp://”. Um exemplo resumido: quando você entre em um ecommerce, existe o botão “Entre com Facebook” para você fazer o login; para a autenticação acontecer, dados são trocados entre aplicativos (no caso, Safari e Facebook).

“Um esquema de URL é a parte de um link que especificar o tipo de aplicativo que o dispositivo usa para abrir um URL. Muitos apps são compatíveis com esquemas de URL: o FaceTime usa esquemas de URL para fazer ligações quando um URL que começa com facetime:// é aberto, da mesma forma que o Safari gerencia URLs que começam com http://”, explica a Apple.

A falha

Segundo os pesquisadores, a Apple não define qual aplicativo pode usar essas palavras-chave para um esquema de URL. Isso significa que vários apps dentro de um iPhone pode usar um esquema único de URL, que “vazaria” dados sensíveis para estes aplicativos diferentes.

  • Veja um infográfico montado explicando a falha:

appleEsquema de URL sendo usado

Resumidamente, um aplicativo malicioso instalado no iPhone com o mesmo esquema de URL de um aplicativo legítimo que seja alvo, pode enganar outros apps a enviarem dados sensíveis ou até apresentarem propagandas para lucro dos desenvolvedores.

A Trend Micro pediu para que desenvolvedores iOS façam uma rechecagem em seus apps e validem uma correção para solicitações não confiáveis. Já você, o usuário, deve sempre estar atento aos aplicativos e desenvolvedoras que entram no seu aparelho.

Comentários

Conteúdo disponível somente online
Veja também
Vulnerabilidade no iOS deixa hackers roubarem dados de contas