1.000 Aplicații iOS au Cripping SSL Bug Cum să verificați dacă sunteți afectat
SourceDNA, o platformă de analiză a codurilor care audită aplicațiile Android și iOS, a lansat recent un raport care arată că mai mult de 1.000 de aplicații iOS au o vulnerabilitate serioasă de securitate care ar putea compromite detaliile financiare ale utilizatorilor.
Problema împiedică aplicațiile să verifice corect certificatele SSL Ce este un certificat SSL și aveți nevoie de unul? Ce este un certificat SSL și aveți nevoie de unul? Navigarea pe Internet poate fi înfricoșătoare atunci când sunt implicate informații personale. Citiți mai multe, deschizând aplicațiile până la un număr de atacuri de tip man-in-the-middle. În timp ce această aplicație nu afectează securitatea iOS în sine Securitatea telefonului mobil: Pot iPhone-urile să obțină programe malware? Smartphone Security: Pot iPhones Get Malware? Malware care afectează "mii" de iPhone-uri poate fura acreditările App Store, dar majoritatea utilizatorilor iOS sunt perfect siguri - deci ce anume se ocupă cu iOS și software-ul necinstiți? Citiți mai mult, ar putea compromite datele de utilizator transmise prin aplicațiile afectate ...
Un bug simplu care rupe SSL
Bugetul în cauză este în pachetul AFNetworking, o soluție populară de rețea open source utilizată în mii de aplicații App Store. Eroarea este o eroare logică simplă care oprește verificarea SSL de fapt, întorcând toate verificările certificatelor ca valide. Acesta nu este un dezastru de securitate masiv ca HeartBleed Heartbleed - Ce puteți face pentru a rămâne sigură? Heartbleed - Ce puteți face pentru a vă menține în siguranță? Citește mai mult sau ShellShock mai rău decât în inimă? Faceți cunoștință cu ShellShock: o nouă amenințare la adresa securității pentru OS X și Linux mai rău decât în inimă? Faceți cunoștință cu ShellShock: o nouă amenințare la adresa securității pentru OS X și Linux Citiți mai multe - dar este o problemă dacă utilizați o aplicație care conține eroarea. Din fericire, bug-ul a existat doar pentru aproximativ șase săptămâni, adăugat la 2.5.1 și fixat în 2.5.2. S-ar putea să presupui în mod rezonabil că este sfârșitul povestirii.
Din pacate, nu.
Din păcate, mulți dezvoltatori nu își păstrează în mod activ aplicațiile actualizate prin remedierea erorilor și există o mulțime de aplicații care încă utilizează versiunea defectă a AFNetworking, în ciuda disponibilității unui patch. SourceDNA a analizat 20.000 de aplicații care conțin versiuni ale pachetului AFNetworking și au stabilit că aproximativ 1.000 utilizează încă verificarea SSL rupt.
SourceDNA a reușit să efectueze acest control utilizând instrumente de analiză care permit analizarea fișierelor binare ale a mii de aplicații. Tehnologia lor le permite să identifice nu doar cu ce biblioteci au fost compilate aceste aplicații, dar care versiuni din acele biblioteci. După cum se dovedește, acest lucru este incredibil de util pentru identificarea aplicațiilor care pot fi afectate de erori și vulnerabilități cunoscute. Conform ziarului publicat,
“SourceDNA a creat o amprentă diferențială pentru a găsi codul vulnerabil. Gândiți-vă la acest lucru ca la un set de caracteristici unice care au fost prezente sau absente numai în versiunea vizată și nu în alte sau înainte de acestea. Cu acest set de semnături, motorul nostru de analiză ne-ar spune exact ce versiune de AFNetworking a fost utilizată în fiecare aplicație. “
Multe dintre aplicațiile afectate stochează și transmit date despre cărțile de credit ale utilizatorilor, inclusiv aplicația mobilă Alibaba.com, KYBankAgent 3.0 și punctul de vânzare Revo Restaurant. Câteva milioane de utilizatori au instalat o aplicație vulnerabilă pe dispozitivul lor iOS - o cantitate uimitoare de expunere a unui astfel de bug scurt.
“5% sau aproximativ 1.000 de aplicații au avut defectul. Aceste aplicații sunt importante? Le-am comparat cu datele de rang și am găsit niște mari jucători: Yahoo !, Microsoft, Uber, Citrix etc. Ea ne uimește că o bibliotecă open-source care a introdus un defect de securitate pentru doar 6 săptămâni expus milioane de utilizatori pentru a ataca.”
Evaluarea impactului bug-ului AFNetworking
Cât de gravă este această vulnerabilitate? Problema permite atacatorilor să păcălească aplicațiile în a gândi că comunică printr-o conexiune securizată cu un server de încredere. Dacă utilizați o aplicație vulnerabilă, oricine din aceeași rețea WiFi vă puteți seta un atac de tip "om-in-the-middle" Ce este un atac la om? Jigonul de securitate a explicat ce este un atac la om? Jigonul de securitate explicat Dacă ați auzit de atacurile "om-în-mijloc", dar nu sunteți sigur de ce înseamnă asta, acesta este articolul pentru dvs. Citiți mai multe și interceptați informații din aplicații, inclusiv date delicate cum ar fi informații despre cărțile de credit. Această informație ar putea fi apoi utilizată pentru a facilita furtul de identitate 6 Semne de avertizare a furtului de identitate digitală Nu trebuie să ignorați 6 semne de avertizare ale furtului de identitate digitală Nu trebuie să ignorați Furtul de identitate nu este prea rar întâlnit în aceste zile, intră în capcana gândirii că se va întâmpla mereu cu "altcineva". Nu ignora semnele de avertizare. Citiți mai multe și alte forme de fraudă. În mod potențial, acest tip de atac ar putea fi automatizat pentru a viza aplicațiile populare.
Un număr de companii s-au grăbit să actualizeze și să remedieze situația de la vestea ruptă, inclusiv Microsoft și Yahoo. Cele mai multe dintre aplicații, totuși, rămân neschimbate. Pentru a vedea dacă aplicațiile pe care le utilizați sunt afectate, puteți utiliza instrumentul de căutare SourceDNA. Dacă descoperiți că una dintre aplicațiile dvs. este în continuare vulnerabilă, strategia cea mai sigură este să o ștergeți temporar și să le comunicați dezvoltatorilor cerându-i să scoată un plasture cât mai curând posibil.
SourceDNA este un instrument inteligent, iar acest lucru demonstrează că tehnologia lor este cu adevărat utilă. Siguranța calculatorului este dificilă și un instrument care poate automatiza procesul de căutare a unor bug-uri neprotejate - cu sau fără cooperarea dezvoltatorilor - este o victorie uriașă pentru securitatea utilizatorilor. Fără această verificare, această greșeală extinsă ar fi persistat, probabil, de foarte mult timp. Acest tip de analiză permite dezastrelor publice de masă care îi determină pe dezvoltatori să devină mult mai responsabili și este probabil că SourceDNA va descoperi alte probleme nedetectate și nerezolvate.
Este afectat dispozitivul dvs. iOS de eroarea AFNetworking? Ești încântat de aceste noi instrumente de analiză? Spuneți-ne în comentariile!
Credite de imagine: “US Cyberwarfare,” “iPhone frontal, “Camera iPhone“, de către Wikimedia
Explorați mai multe despre: securitatea calculatorului, iOS, încălcarea securității, securitatea smartphone-urilor.