Um bilhão de aplicativos estão vulneráveis a furtos de credenciais

Um trio de pesquisadores da University of Hong Kong detectou uma falha na forma como o protocolo de autenticação OAuth 2.0 pode ser implementado em aplicativos.

Segundo os estudos, a vulnerabilidade pode afetar cerca de um bilhão de aplicativos diferentes disponíveis no mercado e levar a furtos de dados de usuários.

O OAuth 2.0 é um padrão adotado de autenticação que facilita a identificação de usuários usando plataformas de login já existentes, como Google e Facebook. Através do recurso, com a autorização do usuário, uma conta vinculada em uma rede social, por exemplo, funcionaria como forma de autenticação em um aplicativo, sem a necessidade de um cadastro adicional e sem que o desenvolvedor do aplicativo precise se preocupar com modelos de autenticação e bancos de dados próprios para login.

Entretanto, de acordo com os resultados apresentados durante a conferência de segurança Black Hat EU, uma falha na adoção do protocolo pode colocar a segurança das contas dos usuários em risco. O estudo “Signing into One Billion Mobile LApp Accounts Effortlessly with OAuth 2.0” (PDF) testou 600 dos aplicativos mais populares na lojas Android dos Estados Unidos e da China e descobriu que 42% estão suscetíveis a ataques que explorem essa vulnerabilidade.

Através do ataque é possível forjar a autenticação OAuth 2.0 e conseguir acesso aos dados dos aplicativos como se fosse um usuário legítimo. Com essa brecha, um hacker poderia ter acesso a dados bancários, informações privadas, realizar compras e outras ações fraudulentas, sem precisar ter uma interação com a vítima ou mesmo com seu dispositivo, bastando apenas interceptar o sinal com uma conexão insegura.