Blog
Vulnerabilidade no iOS deixa hackers roubarem dados de contas
16 de julho de 2019 / Tecnologia / por Comunicação Krypton BPO
Pesquisadores da empresa de segurança Trend Micro demonstraram um novo ataque voltado para iPhones e iPads que permite o roubo de informações sensíveis presentes em aplicativos. A brecha existe na exploração de implementação de esquemas de URL, algo muito usado por desenvolvedores iOS.
O funcionamento do iOS é claro: aplicativos rodam em um sandbox próprio e dedicado, o que aumenta a segurança do usuário. Contudo, aplicações podem conversar entre si por meio de alguns métodos para compartilhamento limitado de dados — e a brecha é explorada nesses métodos.
O esquema de URL (Deep Linking) é o que permite a inicialização de aplicativos por meio de URLs. Entre elas, estão “facetime://”, “fb-messenger://” e “whatsapp://”. Um exemplo resumido: quando você entre em um ecommerce, existe o botão “Entre com Facebook” para você fazer o login; para a autenticação acontecer, dados são trocados entre aplicativos (no caso, Safari e Facebook).
“Um esquema de URL é a parte de um link que especificar o tipo de aplicativo que o dispositivo usa para abrir um URL. Muitos apps são compatíveis com esquemas de URL: o FaceTime usa esquemas de URL para fazer ligações quando um URL que começa com facetime:// é aberto, da mesma forma que o Safari gerencia URLs que começam com http://”, explica a Apple.
A falha
Segundo os pesquisadores, a Apple não define qual aplicativo pode usar essas palavras-chave para um esquema de URL. Isso significa que vários apps dentro de um iPhone pode usar um esquema único de URL, que “vazaria” dados sensíveis para estes aplicativos diferentes.
Resumidamente, um aplicativo malicioso instalado no iPhone com o mesmo esquema de URL de um aplicativo legítimo que seja alvo, pode enganar outros apps a enviarem dados sensíveis ou até apresentarem propagandas para lucro dos desenvolvedores.
A Trend Micro pediu para que desenvolvedores iOS façam uma rechecagem em seus apps e validem uma correção para solicitações não confiáveis. Já você, o usuário, deve sempre estar atento aos aplicativos e desenvolvedoras que entram no seu aparelho.
Fonte: Trend Micro / Tech Mundo
Imagem: Designed by Jcomp
Posts relacionados
22 de abril de 2024 / Tecnologia / por Comunicação Krypton BPO
19 de abril de 2024 / Tecnologia / por Comunicação Krypton BPO
18 de abril de 2024 / Tecnologia / por Comunicação Krypton BPO
17 de abril de 2024 / Tecnologia / por Comunicação Krypton BPO
16 de abril de 2024 / Tecnologia / por Comunicação Krypton BPO
15 de abril de 2024 / Tecnologia / por Comunicação Krypton BPO
Receita Federal disponibiliza o Sistema de Combate à Pirataria (SCP)22 de abril de 2024
O cuidado com o bem-estar no ambiente de trabalho e a importância dos benefícios adicionais ao plano de saúde22 de abril de 2024
IA já supera os humanos em tarefas básicas, revela relatório22 de abril de 2024
Quanto você precisa ganhar para se sentir financeiramente seguro e confortável?22 de abril de 2024
MEI: Separar Contas Pessoais das Empresariais é Crucial para Evitar Problemas Graves com o Fisco!22 de abril de 2024