Goto Fail: bug no iOS e OSX coloca usuários em risco

A Apple disponibilizou uma atualização para o iOS (7.0.6) e para o OSX (10.9.2) que corrige um bug na biblioteca de SSL/TLS, o padrão de criptografia usado em praticamente todos os sites e apps, protegendo desde o login no Facebook até o acesso ao seu home banking.

iOS 7.0.6

iOS 7.0.6

A partir da liberação do update, diversas publicações localizaram o bug nos códigos fontes disponibilizados pela própria Apple: um erro de digitação colocou dois comandos “Goto” seguidos, e o comando extra faz com que um dos testes de condição de erro de certificados digitais inválidos seja sempre pulado. O mesmo erro afeta o OSX e o navegador Safari, e pode ainda afetar apps que implementem esta biblioteca diretamente.

Usar comando “Goto” não é considerado uma boa prática de programação, embora ainda seja largamente utilizado. E a ironia da linha do bug ser lida como “goto fail” não passa despercebida.

Fonte: opensource.apple.com

Fonte: opensource.apple.com

Um atacante em uma rede pública (ou que consiga acesso a sua rede wifi) pode forjar um certificado e agir como “man-in-the-middle” entre o seu dispositivo e o servidor, tendo acesso completo à todo o tráfego que deveria estar criptografado. Há indícios que este ataque já estaria sendo explorado.

Recomendações: Usuários de iOS e do OSX devem aplicar a atualização o quanto antes. Enquanto os sistemas não forem atualizados, os usuários devem evitar usar o Safari. Você pode checar se o seu navegador está vulnerável acessando o site gotofail.com.

Editado em 25/02/14 – Update para OSX liberado.