Esses aplicativos gratuitos de terceiros para Android podem não ser tão seguros quanto a maioria dos consumidores pensa.

Um grupo de cientistas da computação mostrou que até 185 milhões de usuários do Android poderiam estar expondo informações bancárias on-line e credenciais de redes sociais, além de contatos e conteúdo de e-mail / mensagens instantâneas..

Os pesquisadores identificaram 41 aplicativos no Google Play Market para o Ice Cream Sandwich que vazaram informações importantes à medida que vão do telefone ao servidor final..

Os cientistas não identificaram publicamente os aplicativos infectados, mas disseram que foram baixados de 39,5 a 185 milhões de vezes. Pesquisadores culparam autoridades de certificação e sites por não colocarem as devidas proteções.

O grupo, formado por cientistas da computação da Universidade Leibniz, de Hannover, na Alemanha, e da Universidade Philipps de Marburg, apresentou suas descobertas na conferência Computer and Communications Security desta semana..

Atacando Android

Os cientistas recriaram o uso de aplicativos em uma rede local para testar uma série de explorações bem conhecidas para roubar informações confidenciais..

Os pesquisadores conseguiram quebrar os protocolos de camadas de soquetes seguros (SSL) e de segurança da camada de transporte (TLS) usados ​​pelos aplicativos para proteger as informações do usuário. Embora a tecnologia SSL e TLS seja considerada geralmente segura, podem ocorrer violações quando os desenvolvedores ou sites não tomam as medidas adequadas para proteger os usuários.

"Poderíamos coletar informações sobre contas bancárias, credenciais de pagamento para o PayPal, American Express e outros", escreveram os pesquisadores em seu artigo..

"Além disso, as credenciais e mensagens do Facebook, e-mail e armazenamento na nuvem vazaram, o acesso a câmeras IP foi obtido e canais de controle para aplicativos e servidores remotos podem ser subvertidos."

Aplicativo para Android: o estudo

Os cientistas começaram baixando 13.500 aplicativos gratuitos do Google Play e testaram se sua implementação de SSL era vulnerável à exploração.

Os pesquisadores estavam curiosos sobre como esses aplicativos poderiam resistir aos ataques MITM (Man-In-The-Middle), que visam informações que são transferidas através de hotspots Wi-Fi públicos e outras redes inseguras..

Após a análise estática, a equipe descobriu que 8% (ou 1.074 aplicativos) continham "código específico de SSL que aceita todos os certificados ou todos os nomes de host de um certificado e, portanto, são potencialmente vulneráveis ​​a ataques MITM".

Os pesquisadores então escolheram 100 dos aplicativos para auditar manualmente conectando-os a uma rede que usava um proxy SSL.

as evidências

Em alguns casos, os aplicativos aceitavam certificados SSL assinados pelos pesquisadores, embora não fossem uma autoridade de certificação válida. Outros certificados aceitos autorizaram um nome de domínio a acessar os dados do usuário que não eram o site que o aplicativo deveria acessar.

Os cientistas também usaram com sucesso os ataques SSLstrip, que substituíram os protocolos SSL por sua própria versão não criptografada. Alguns aplicativos também aceitaram certificados assinados por autoridades que não eram mais válidas.

Os exemplos incluem um aplicativo antivírus que aceitou certificados inválidos e permitiu que a equipe alimentasse sua própria assinatura mal-intencionada. Além disso, um aplicativo de terceiros para um "site popular da Web 2.0 com até 1 milhão de usuários" vazou credenciais do Facebook e do Google quando conectados a esses sites.

As pesquisas não revelaram quais aplicativos específicos eram vulneráveis, presumivelmente para que os aplicativos suscetíveis não fossem considerados alvos fáceis. Em vez disso, eles usaram termos gerais como "serviço de mensagens entre plataformas muito popular".

A maioria dos programas usados ​​no estudo parecia ser aplicativos gratuitos de terceiros, em vez de versões oficiais de sites e serviços..

Google não deve culpar, mas pode fazer muito para ajudar

O grupo também observou que nenhum dos aplicativos foi desenvolvido pelo gigante das buscas, mas os engenheiros do Google podem ajudar a tornar esses aplicativos seguros. Uma maneira é deixar mais claro para os usuários quando a conexão fornecida por um aplicativo é criptografada e quando não é.

O estudo mostra como os protocolos SSL e TLS vulneráveis ​​podem ser quando os desenvolvedores não tomam as medidas adequadas para proteger suas infraestruturas. Como o SSL e o TLS criaram a base para quase toda segurança para obter dados do usuário para o servidor, esses engenheiros de software devem tomar nota.

Os autores apontaram alguns métodos que os desenvolvedores do Android podem proteger melhor seus aplicativos. Uma maneira é a colocação de certificados, o que torna muito mais difícil para os aplicativos aceitarem certificados falsos.

Mas parece que você recebe o que paga ao confiar em informações confidenciais com um aplicativo bancário gratuito de terceiros.

Os usuários que buscam se proteger podem sujeitar os aplicativos à mesma análise estática que os cientistas ao baixar novos programas. Ou usuários preocupados podem querer evitar a transmissão de dados pessoais por redes Wi-Fi públicas e não seguras.

Via Ars Technica, o estudo "Por que Eva e Mallory amam o Android"