Por conta disso, apps não conseguem invocar funções SSL nativas, então eles usam diretamente a biblioteca OpenSSL não vulnerável contida no sistema operacional Android.
Alguns aplicativos Android que pensávamos estarem vulneráveis ao bug do Heartbleed foram poupados por conta de um erro de codificação comum que atua na forma como eles implementam a sua própria biblioteca nativa OpenSSL.
A empresa de segurança FireEye analisou 54 mil aplicações Android na Google Play no dia 10 de abril a fim de identificar as que eram vulneráveis ao Heartbleed. A falha, divulgada publicamente no dia 7, está inserida no OpenSSL, uma biblioteca de código usada para criptografar tráfego na web.
A empresa identificou diversos jogos e aplicações de produtividade que estavam vulneráveis à falha, principalmente porque os aplicativos usam uma biblioteca própria nativa OpenSSL e não a do sistema operacional Android. "Notificamos alguns dos desenvolvedores de aplicativos", afirmaram os pesquisadores Yulong Zhang, Hui Xue e Tao Wei no blog da FireEye.
O Heartbleed é uma vulnerabilidade de estouro de buffer na qual um servidor retorna muita informação, divulgando as credenciais do usuário e os dados sensíveis, tais como a chave privada para um certificado SSL. Ela também pode ser usada em ataques a aplicações.
A FireEye disse que atacar um game poderia causar o vazamento do OAuth, um código de autenticação que pode ser usado para sequestrar uma conta ou redes sociais associadas.
À primeira vista, algumas aplicações de produtividade para Android também parecem estar vulneráveis. Mas os pesquisadores encontraram um erro comum de codificação que, na verdade, impede o funcionamento do Heartbleed.
"Um olhar mais profundo no caso mostra que esses apps ou cometem um erro no código nativo ou apenas contém um código morto", escreveram os pesquisadores da FireEye. "Por isso, quando tentam invocar as funções SSL, eles usam diretamente a biblioteca OpenSSL não vulnerável contida no sistema operacional Android, em vez da biblioteca vulnerável fornecida pelo app."
Fonte: http://idgnow.com.br/mobilidade
0 comentários:
Os comentários serão moderados antes de publicar! respondo todos, obrigado por comentar.