Instapaper é um aplicativo Android que permite aos utilizadores guardar artigos em seus dispositivos, de modo que possam mais tarde lê-los quando eles estão em movimento ou estiver offline. Mais especificamente, o aplicativo salva páginas da web como apenas texto e formata-los adequadamente para celulares e tablets. O aplicativo possui uma grande quantidade de instalações em dispositivos: entre 100,000 e 500,000 e tem uma boa classificação de 4.2.
a Vulnerabilidade
Qualquer um que queira usar o aplicativo tem que criar uma conta, e tem que assinar em. Instapaper implementa uma conexão segura HTTPS, que é suposto para proteger todas as informações transferidas entre os usuários e o aplicativo. Contudo, Bitdefender descobriu que na versão 4.1.4 do aplicativo, não há nenhuma implementação de validação de certificado. Em termos leigos, quando você se inscrever, enviar os dados para o servidor do aplicativo, mas não há como dizer se ele vai atingir o alvo pretendido. Como Bitdefender apontou em seu blogpost, alguém “poderia usar um certificado auto-assinado e começar a‘comunicação’com o aplicativo”. Embora os dados e suas credenciais de login são criptografadas, Se os hackers conseguem interceptar-los, não vai ser muito antes de decifrar-los e receber acesso à sua conta.
Para obter mais técnico, Instapaper usa um SSLSocketFactory que é suposto para validar os servidores HTTPS contra uma lista de certificados, bem como ter certeza que eles são autênticos, usando uma chave privada. Desta forma os seus dados criptografado é enviado entre servidores. O TrustManager o aplicativo usa, contudo, não tem qualquer implementação para validação de certificado. Isto significa que os golpistas podem fingir ser servidores legítimos Instapaper e obter seus dados.
O Man-in-the-middle ataque
Vamos dizer que a rede Wi-Fi que você está usando é comprometida, i.e. ele está sendo monitorado por hackers. Se você entrar no Instapaper enquanto estiver usando uma conexão, os hackers podem interceptar tanto o seu nome de usuário e senha. Você pode pensar que uma conta Instapaper não é grande coisa, porque você só usá-lo para ler artigos. Contudo, a maioria dos usuários, muitas vezes reciclar usernames, bem como senhas. Se você usar o mesmo nome de usuário e senha, em um serviço diferente, os hackers podem obter acesso a esse e roubar informações mais sensíveis.
O conserto
Instapaper lançou uma atualização na terça-feira, versão 4.2.2, que deve corrigir o problema. Se você tiver o aplicativo no seu telefone ou tablet, recomendamos atualizá-lo imediatamente.