Nova vulnerabilidade descoberta no iOS possibilita roubo de dados

 

A Apple não está a ter uma boa semana. Depois dos vários problemas com o iOS 8 e 8.0.1, seguindo-se ainda os problemas derivados da dobragem do iPhone 6 e 6 Plus, chega agora uma nova vulnerabilidade descoberta no iOS.

O programador Hockenberry, criador da aplicação Twitterrific, descobriu uma nova vulnerabilidade que afeta todas as aplicações que utilizem navegadores “in-app”. Segundo este, os dados introduzidos numa página aberta in-app podem ser recolhidos e posteriormente enviados para servidores remotos (poderá visualizar a demonstração da vulnerabilidade no video que se encontra no final deste artigo) .

Um dos exemplos apontados encontra-se no login na aplicação do Twitter. Quando um utilizador abre a aplicação do Twitter pela primeira vez, necessita de realizar o login. A aplicação abre a página de login num navegador integrado na própria aplicação. No entanto, explorando a vulnerabilidade, qualquer dado que seja introduzido neste tipo de páginas poderá ser interceptado.

Isto inclui também as páginas de login eu surgem em aplicações como o Facebook e até em várias aplicações de entidades bancarias.

O problema não se encontra nos websites, mas sim no próprio formato como o iOS obtém os dados da janela in-app. Desta forma, por parte dos programadores, não existe nada que possa ser realizado para prevenir os roubos dos dados introduzidos.

Os dados encontram-se a ser obtidos a partir da própria aplicação, não se tratando de um esquema de phishing. No entanto a vulnerabilidade pode ainda ser utilizada para alterar o aspeto das páginas apresentadas, como o programador também demonstrou ao alterar o tradicional botão de login do Twitter.

A vulnerabilidade encontra-se presente tanto no iOS 7 como no iOS 8 e, de acordo com o programador, poderá ainda encontrar-se em versões mais antigas do sistema. Até ao momento a Apple ainda não comentou o caso.

Mais informações sobre a vulnerabilidade podem ser encontradas no blog do programador.