Vulnerabilidade no OS X e no iOS permite que apps maliciosos roubem senhas e outras informações [atualizado]


Caneta Para notificar nossos editores de um erro no post, selecione o texto e pressione Ctrl + Enter.
Por
17/06/2015 às 12:38

Seis pesquisadores da Universidade de Indiana, da Georgia Tech e da Universidade de Pequim publicaram um extenso documento (13 páginas) que revela falhas de segurança no OS X e no iOS as quais permitem que apps maliciosos aprovados pela equipe da App Store — e que rodam em modo sandbox — tenham acesso não-autorizado a informações sensíveis armazenadas em outros apps.

De acordo com o The Register, o grupo conseguiu enviar um aplicativo para a App Store e passar pelo processo de aprovação sem levantar nenhuma suspeita que poderia invadir o Acesso às Chaves (Keychain Access) para roubar senhas de serviços/apps como iCloud, Mail, tokens de autenticações, senhas salvas pelo Google Chrome, etc.

A forma de comunicação para roubar essas informações varia, passando pelo Keychain e pelo WebSocket no OS X, e esquemas de URL (URL schemes, tanto no OS X quanto no iOS). Desta forma, até mesmo informações armazenadas no aplicativo 1Password podem ser roubadas, mostrando que a falha é realmente grave (afinal o app tem como premissa armazenar e guardar todas as suas senhas e informações sensíveis em um único local). Além do 1Password, informações de serviços/apps como Gmail, Google Drive, Facebook, Twitter, Evernote, Pushbullet, Dropbox, WeChat, Instagram, WhatsApp, Pinterest, Dashlane, AnyDo, Pocket e muitos outros também podem ser roubadas “facilmente”.

88,6% dos 1.612 [aplicativos para] Mac e 200 aplicativos para iOS foram encontrados “completamente expostos” ao ataque de acesso não-autorizado entre apps [identificado como XARA], permitindo que aplicativos maliciosos roubem dados de forma segura.

Ainda de acordo com o The Register, as falhas foram relatadas para a Apple em outubro de 2014. Eles então respeitaram o pedido da Maçã de não publicar as informações por seis meses. Contudo, como até agora a empresa não corrigiu o problema e não falou mais nada sobre o assunto, os pesquisadores estão expondo a vulnerabilidade publicamente.

Vamos torcer para que tudo seja corrigido o quanto antes!

[via MacRumors]

Atualização · 19/06/2015 às 21:40

Um porta-voz da Apple deu a seguinte declaração ao site iMore:

No início desta semana, implementamos uma atualização de segurança para aplicativos em nossos servidores a qual protege os dados de aplicativos e bloqueia apps com problemas de configuração sandbox na Mac App Store. Temos correções adicionais em andamento e estamos trabalhando com os pesquisadores para investigar as alegações do estudo.

Posts relacionados
Comentários
  • Amilcar do Amaral

    Quando li, primeira coisa, fui no 1Password e apaguei as senhas e números de verificação dos cartões de crédito…vai saber né…na verdade, essas coisas são seguras até que vem um e explode com tudo!
    Por outro lado, precisamos necessariamente baixar tais apps maliciosos, então, se não baixar nada desconhecido, acho que a coisa vai legal; acho…

  • Iure Lima

    É bem isso ai, essa suposta “proteção” que Apple tem ou anda falando, eu não estou vendo mas isso, como vc mesmo disse Amilcar, vai saber né, apaguei tudo também.

  • Matheus Kautzmann

    Pelo que eles mostraram no vídeo funciona quando você ainda não tem a chave registrada na keychain para aquele site ou dado. Eles não mostram se a técnica também funciona se a chave já existe.

    Depois disso, se confirmar que funciona quando já existe chave a falha é no mínimo bizarra, pois tantos anos de Keychain e uma falha simples dessas ainda estar presente é MUITO estranho. Seria um erro ridículo dos engenheiros da Apple isso.

    Pensando bem não seria a primeira vez que algo ridículo acontece, como a falta da validação de força bruta do iCloud que possibilitou aquele vazamento de informações do ano passado.

  • Amilcar do Amaral

    Acho que tá valendo o “trabalho” de puxar o cartão para ver o código de verificação e preencher a senha né? rssssss

  • Iure Lima

    Não preciso nem falar mais nada.

  • Putz, se vou no 1Password apagar as senhas, estou perdido ! 😀

    São pelo menos 150 senhas de sites, fora estes dados bancários e de cartões de crédito. As senhas são todas gigantes e aleatórias. Estaria perdido ! 😀

  • Super Suporte

    Nossa, estou lendo aqui o paper, o pior é os caras comentando que até o Android tem um “cross-app resource sharing” mais decente. Detalhe, o codigo do android é mais aberto e baseado no linux. OU SEJA ERA SÓ COPIAR POXA! que mancada Apple 🙁

  • Super Suporte

    Tu trabalha com segurança não?

  • Exato

  • O problema é que você pode baixar um app qualquer da App Store e ele ser malicioso. Até então, você assumia que QUALQUER app na App Store era seguro. Agora, um Flappy Bird da vida pode ter um objetivo malicioso por trás.

  • Amilcar do Amaral

    vdd! isso era uma coisa que me deixava sossegado…

  • Hades666

    É por esses e outros motivos que não guardo senhas importantes em nenhum aparelho ou app, não uso nuvem para nada…..senhas estão no caderno 😉 Quero ver hackear meu caderno, rsssss
    Falo isso a muito tempo, aqui e no twitter…cade aqueles que defendem que tudo é seguro, tudo é “Alice no país da maravilhas”??

  • Marcvs Antonivs

    Que é isso Microsoft, digo, APPLE???!!!!!

  • Anderson Maciel

    Depois que tive um débito indevido no paypal que eu considerava seguro, não deixo meu número de cartão gravado em nenhum app/site. Se tiver que usar cartão, puxo ele da carteira e digito tudo.

  • Leandro Vieira

    É… tempos difíceis para o OS X e iOS podem estar a caminho…ainda bem que a “armadura” do Unix é boa…rsrs

  • Cade o pessoal que fala que a Apple corrige falha rápido? lol

  • Jefferson Eduardo de Souza

    Seria por isso que a nova versão do iOS e do OSX são só polimentos?

  • Tony Stark

    Quem diria que os novos Androids e WP seriam mais seguros que iOS!!!
    É quase que diário as notícias de falhas e possíveis vírus no iOS, pior é saber que a Apple pede (paga) para os caras ficarem quietos para a notícia não chegar a mídia, imagina o que não sabemos!!!

  • Tony Stark

    Será que a Apple de hoje se tornará a Black Berry de amanhã!!!

  • Hades666

    Se a Apple começar a deixar esse tipo de “brecha”, usuários vão começar a pular do navio feito ratos….

  • Marcvs Antonivs

    Eles aparecem quando a coisa é com a Microsoft…A gente paga caro, MUITO CARO MESMO e em troca temos ISSO…

  • Marcvs Antonivs

    Cadê?????….

  • o_Sandman_o

    Concordo quando você diz que “…pior é saber que a Apple pede (paga) para os caras ficarem quietos para a notícia não chegar a mídia, imagina o que não sabemos!!!…”
    Agora Android ser mais seguro que iOS….. Nem no pais das maravilhas isso acontece….

  • o_Sandman_o

    Pois é….
    A própria Apple estava retirando programas anti-vírus e anti-malware da App Store….
    E agora????? O que ela vai dizer para os milhões de usuários que foram enganados quando a Apple dizia que os apps da loja eram seguros e que passavam por um rigoroso controle contra códigos maliciosos?????
    .

  • Tony Stark

    Sandman, qndo digo sobre o Android ser mais seguro que o iOS, me refiro as novas versões (Android 5 x iOS8), isso é fato, tanto que nos EUA e Europa saíram diversas reportagens descrevendo o iOS 8 como o pior sistema ja feito pela Apple, sendo o mais bugado e de díficil acerto da história da companhia. Se vc ler outros sites de notícias, verá que toda semana temos problemas relacionados ao sistema da Apple, infelizmente aqui no Macmagazine eles não colocam estas matérias sempre.
    Eu tenho um 5S e um Moto X 2014, posso te afirmar que este ultimo é muito melhor, roda liso e nunca tive problemas, só estou esperando sair o Moto X 2015 (que promete) para por as mãos em um.

  • o_Sandman_o

    Sua afirmação “… verá que toda semana temos problemas relacionados ao sistema da Apple…” tem a ver justamente com a propaganda que a Apple fazia dizendo que seu sistema era o mais seguro de todos. Bastou alguém encontrar brechas de segurança no iOS que todo mundo “esqueceu” o Android e crucificou o iOS….
    Se você leu o relatório da Marble Security, empresa de segurança de informação que disse que o iOS é tão ou mais vulnerável que o Android, você deve ter lido “…o iOS é sim vulnerável a ameaças externas, mas isso é mais difícil de acontecer, já que nem tudo pode ser baixado através de fontes externas…” e também deve ter lido que “…um iPHONE COM JAILBREAK apresenta a mesma “janela aberta” que o Android possui no campo “infecção”…”.

  • Tony Stark

    Não existe mesmo sistema 100% seguro Sandman, o que eu quero dizer é que mesmo sendo um sistema de código aberto (como é o Android), ele foi considerado sim mais seguro e menos bugado que o iOS 8 por várias instituições especializadas. Coisa que não deveria acontecer com o iOS, visto que o iOS 8 é apenas uma atualização do iOS 7, diferente do Android 5, que mesmo com alguns bugs, é um sistema praticamente novo. Acredito que a Apple vai caprichar no iOS 9, principalmente em estabilidade e segurança, isso tdo pra tentar apagar o fiasco atual, tbm acho que o novo Android virá ainda melhor, assim como o W10 da Microsoft, isso tdo é excelente para nós consumidores.

  • o_Sandman_o

    Sei que nenhum SO é 100% seguro, todos eles tem brechas de segurança.
    Nas reportagens e relatórios que li da empresa Marble Security, ela deixa bem claro que o iOS só é tão ou mais vulnerável que o Android se o usuário utilizar o jailbreak ou se o usuário fizer download de fontes não confiáveis.
    Sendo assim, um usuário que faz download de apps de fontes confiáveis e que não fez o jailbreak tem um sistema mais seguro que o Android.
    .

  • Tony Stark

    Sandman, na verdade o mesmo ocorre com o usuário que habilitar a opção “Fontes Desconhecidas” no Android ou fizer o root do sistema (Jailbreak no iOS). Nunca fiz o root, msm pq não sei fazer, mas deixo habilitada a opção “Fontes Desconhecidas” no meu Moto X, daí posso baixar apps pagos, mas de graça em dias de promoção no site da Amazon…rsrs!!!Nunca tive problemas, msm pq só baixo no Google Player e Amazon mesmo, mas é um risco a correr, caso se aventure em outros sites.

  • Tony Stark

    Com certeza!!!
    Vira mais seguro e estável, pelo menos é a promessa.

  • o_Sandman_o

    Precisa ter coragem prá habilitar “Fontes Desconhecidas” e baixar apps fora da loja do Google…..
    kkkkk…..

  • Dieguito Martins

    Nossa Anderson e eu que estava prestes a utilizar o paypal , e agora em em que. Confiar ?
    Apple ? Microsoft ? Google ?

  • Infosec_orion

    Provavelmente nao, esses problemas nao estao sendo explorados e provavelmente nao serao com as medidas de mitigacao ja em pratica.

  • Infosec_orion

    Boa observacao, no iOS essas autenticacoes existem mas no OSX ainda nao. Mas ha uma brecha tambem no iOS caso seu app tenha um modulo helper que usa outro BundleID que eh diferente do BID do app e nao eh autenticado 🙁

  • Infosec_orion

    Nao, a Apple nao pagou para os caras ficarem quietos. Eh uma pratica entre analistas de seguranca e empresas de se comprometerem com um periodo de tempo antes de divulgar vulnerabilidades para que a empresa mitigue ou elimine o risco e se prepare para a repercussao. Caso voce leia por exemplo o artigo da 1Password sobre este assunto vai ver que houve grande colaboracao entre os cientistas que descobriram os problemas e os analistas da Agilebits. O mesmo com a Apple. O problema eh tao intrincado e impacta uma area tao importante da arquitetura do sistema operacional que torna impossivel criar uma correcao que nao impacte o funcionamento dos apps. O buraco neste caso eh bem mais embaixo, no bom sentido claro 🙂

  • Tony Stark

    Interessante!!!O importante é que estão corrigindo o problema.

  • Jefferson Eduardo de Souza

    Não vejo porque não, é sabido que a Apple tem muito problemas com segurança, a sorte dela é que eles são menos explorados que no Windows. Esses polimentos são pra isso mesmo.

  • Anderson Maciel

    Pode usar o Paypal, só não deixe seu número de cartão gravado lá. Eu fui ressarcido do valor, mas não do valor do IOF que o banco cobrou e deu uns 40 e poucos reais de IOF, sobre algo que não comprei. É [email protected]

  • Amilcar do Amaral

    Vlw bro! eu, por via das dúvidas só apaguei as senhas dos cartões e senha dos bancos, até porque uso pouco na internet…de resto está tudo lá. Eu não sou muito neurótico, tenho tudo na nuvem, não acho que meu banco de dados vá interessar. Se alguém estourar minhas senhas eu tenho backup de tudo no Time Machine, então tô sossegado…apaguei as senhas dos cartões just in case….rssssss

  • sigma7777777

    Pois é, no passado comentei por aqui sobre a loucura de armazenar todas as senhas em um único aplicativo, mas parece que talvez a partir de agora alguns reflitam que não há sistema imbatível e portanto é melhor continuar mantendo um lugarzinho no cérebro para memorizar alguns senhas críticas, tais como de bancos, e-mail principal e sistemas de pagamento.

  • sigma7777777

    Como pode ter certeza de que esse malware não existe? Além disso outros companhias e hackers talvez estejam explorando essas falhas há anos e sem alarde.

  • Bruno Cortese

    Saudade de Jobs.


Carregar mais posts recentes

Relatório de erro de ortografia

O texto a seguir será enviado para nossos editores: