Nos últimos dias, Google, Apple e Microsoft resolveram a falha FREAK em seus navegadores web: ela permitia quebrar a criptografia ao acessar sites que deveriam ser seguros, desde bancos a sites do governo.
Infelizmente, a falha não acabou de vez: entre os apps mais populares para iOS e Android, pesquisadores descobriram que até dois mil ainda estão vulneráveis. Ugh.
Por que isso acontece? Bem, o tráfego seguro de internet (HTTPS) requer o uso de bibliotecas OpenSSL ou suas variantes, onde está presente a falha. Para se livrar dela, é preciso atualizar essas bibliotecas – e nem todo app fez isso.
Android e iOS
Por isso, entre os 10.985 apps mais populares no Google Play, 1.228 estão vulneráveis à FREAK. Estes apps foram baixados, no total, mais de 6,3 bilhões de vezes.
No Android, o problema é um pouco mais grave porque o Google não pode resolver a falha sozinho: quase metade dos apps afetados usam bibliotecas OpenSSL próprias, não as embutidas no sistema – e precisam atualizá-las de forma independente.
No iOS, apenas sete apps populares usam bibliotecas OpenSSL próprias: por isso, eles continuam afetados pela FREAK no iOS 8.2. Em versões anteriores do sistema, 771 apps são suscetíveis à falha.
Todos esses apps merecem uma conexão mais segura: segundo a empresa de segurança FireEye, eles se encaixam nas categorias de finanças, comunicação, compras, negócios e medicina. Ela não revela o nome dos apps, provavelmente para não facilitar ataques.
O estudo foi feito em 10 de março. A equipe não analisou apps do Windows Phone nem de outras plataformas.
A brecha
A falha existe devido a uma política dos EUA nos anos 1990. Na época, empresas que exportavam tecnologia eram obrigadas a “enfraquecer” chaves de criptografia. Quando você usa uma chave RSA feita para exportação, é possível quebrar a criptografia em questão de horas – e a FREAK permite obrigar o app a aceitar essa chave.
Assim, é possível roubar credenciais de login: