Pesquisadores do AppBugs encontraram uma vulnerabilidade em diversos aplicativos Android na Play Store que podem expor as senhas dos usuários por uma falha na implementação da criptografia HTTPS nos logins, ou mesmo pela falta de utilização do recurso.
A lista dos aplicativos que foram detectados com o bug somam no total mais de 200 milhões de download na loja da Google. Mesmo após serem alertados sobre o problema, os desenvolvedores ainda não atualizaram as aplicações com uma correção. A lista inclui, por exemplo, o app oficial da Associação Nacional de Basquete (National Basketball Association), o serviço de encontros Match.com, a rede de supermercados Safeway, e o PizzaHut.
O CEO da AppBugs, Rui Wang, disse ao Ars Technica que o aplicativo do Match.com usaprotocolo não encriptado de transferência de ao enviar as senhas de usuários. Assim, alguém na mesma rede Wi-Fi pode monitorar as transferências e ler as credenciais através de ataques do tipo man-in-the-middle.
Outros aplicativos, como a NBA Game Time e o Safeway e PizzaHut, usam criptografia HTTPS, mas não implementam corretamente. Como resultado, um atacante pode usar um certificado digital auto-assinado falso ou outras formas de ler os dados de login.
Como exemplificado no vídeo abaixo, o resultado é simples. Quando a vítima digita sua senha no aplicativo, o atacante em uma máquina à parte é capaz de ver o que foi digitado, bem como o nome de usuário.
Wang disse que enviou um relatório sobre a descoberta ao desenvolvedor do aplicativo da NBA em fevereiro, mas nunca obteve uma resposta, bem como demais criadores de aplicativos que foram detectados com a falha. Foram no total 100 apps que não protegem as credenciais de login corretamente com HTTPS, e apenas 28 corrigiram o problema, desde então.
Os desenvolvedores também disseram que no iOS existem diversos aplicativos com o mesmo problema.
TecDigital 