SourceDNA, платформа для анализа кода, которая осуществляет аудит приложений Android и iOS, недавно выпустила отчет, в котором указывается, что более 1000 приложений iOS имеют серьезную уязвимость безопасности, которая может поставить под угрозу финансовые данные пользователя.
Эта ошибка не позволяет приложениям правильно проверять подлинность SSL-сертификатов.
, открывая приложения для ряда атак «человек посередине». Хотя это приложение не влияет на безопасность самой iOS
, это может поставить под угрозу пользовательские данные, передаваемые через уязвимые приложения …
Простая ошибка, которая нарушает SSL
Данная ошибка связана с пакетом AFNetworking, популярным сетевым решением с открытым исходным кодом, используемым в тысячах приложений App Store. Ошибка представляет собой простую логическую ошибку, которая останавливает проверку SSL, возвращая все проверки сертификата как действительные. Это не серьезная катастрофа безопасности, как HeartBleed
или ShellShock
— но это проблема, если вы используете приложение, которое содержит ошибку. К счастью, ошибка существовала всего около шести недель, добавлена в 2.5.1 и исправлена в 2.5.2. Вы можете разумно предположить, что это конец истории.
К сожалению нет.
К сожалению, многие разработчики активно не обновляют свои приложения с исправлениями ошибок, и есть множество приложений, которые все еще используют неработающую версию AFNetworking, несмотря на наличие патча. SourceDNA проанализировала 20 000 приложений, которые содержат версии пакета AFNetworking, и определила, что около 1000 все еще используют неработающую проверку SSL.
SourceDNA смогла выполнить эту проверку с помощью аналитических инструментов, которые позволяют анализировать двоичные файлы тысяч приложений. Их технология позволяет им определять не только с какими библиотеками были скомпилированы эти приложения, но и с какими версиями этих библиотек. Оказывается, это невероятно полезно для определения того, на какие приложения могут влиять известные ошибки и уязвимости. Согласно опубликованной газете,
и перехватывать информацию из приложений, в том числе конфиденциальные данные, такие как данные кредитной карты. Эта информация может затем использоваться для облегчения кражи личных данных
и другие формы мошенничества. Потенциально, этот тип атаки может быть автоматизирован для нацеливания на популярные приложения.
Ряд компаний выпустили обновления и исправления с момента выхода новости, включая Microsoft и Yahoo. Большинство приложений, тем не менее, остаются не исправленными. Чтобы проверить, не затрагиваются ли используемые вами приложения, вы можете воспользоваться инструментом поиска SourceDNA. Если вы обнаружите, что одно из ваших приложений по-прежнему уязвимо, самая безопасная стратегия — временно удалить его и сообщить разработчикам, как можно скорее, выпустить патч.
SourceDNA — умный инструмент, и это демонстрирует, что их технология действительно полезна. Компьютерная безопасность сложна, и инструмент, который может автоматизировать процесс поиска исправленных ошибок — с участием разработчиков или без него — является огромным выигрышем для безопасности пользователей. Без такой проверки эта распространенная ошибка сохранялась бы, вероятно, довольно долго. Этот вид анализа делает возможным массовый публичный позор, который делает разработчиков намного более ответственными, и кажется вероятным, что SourceDNA обнаружит дальнейшие необнаруженные и нерешенные проблемы.
Подвержена ли ваша ошибка iOS AFNetworking? Вы взволнованы этими новыми инструментами аналитики? Дайте нам знать об этом в комментариях!
Изображение предоставлено: «Кибервойна ВМС США», «Фронт iPhone», «Камера iPhone», автор Wikimedia
