1000 iOS приложения имат осакатяващ SSL бъг: как да проверите дали сте засегнати

реклама

SourceDNA, платформа за анализ на кодове, която одитира приложения за Android и iOS, наскоро пусна доклад, посочващ че повече от 1000 приложения за iOS имат сериозна уязвимост на сигурността, която може да компрометира финансовите възможности на потребителя подробности.

Грешката предотвратява правилното удостоверяване на приложенията SSL сертификати Какво е SSL сертификат и имате ли нужда от такъв?Сърфирането в Интернет може да бъде страшно, когато става въпрос за лична информация. Прочетете още , отваряне на приложенията до редица атаки „човек в средата“. Въпреки че това приложение не засяга сигурност на самия iOS Сигурност на смартфона: Могат ли iPhone-и да получат злонамерен софтуер?Зловредният софтуер, засягащ „хиляди“ айфони, може да открадне идентификационните данни на App Store, но по-голямата част от потребителите на iOS са напълно безопасни - така че каква е работата с iOS и измамния софтуер? Прочетете още , може да компрометира потребителските данни, предавани чрез засегнатите приложения ...

Прост бъг, който разбива SSL

Най- въпрос на грешка е в пакета AFNetworking, популярно мрежово решение с отворен код, използвано в хиляди приложения на App Store. Грешката е проста логическа грешка, която спира проверката на SSL действително да се извършва, връщайки всички проверки на сертификати като валидни. Това не е мащабна катастрофа със сигурността HeartBleed Сърцебиене - какво можете да направите, за да останете в безопасност? Прочетете още или Shellshock По-лошо от сърдечно? Запознайте се с ShellShock: Нова заплаха за сигурността за OS X и Linux Прочетете още - но е проблем, ако използвате приложение, което съдържа грешката. За щастие, бъгът съществува само около шест седмици, добавен е в 2.5.1 и е фиксиран в 2.5.2. Може с основание да приемете, че това е краят на историята.

За съжаление не.

За съжаление, много разработчици не актуализират активно приложенията си с поправки на грешки и има куп приложения, които все още използват счупената версия на AFNetworking, въпреки наличието на a кръпка. SourceDNA анализира 20 000 приложения, които съдържат версии на пакета AFNetworking, и определи, че около 1000 все още използват счупения SSL чек.

SourceDNA успя да извърши тази проверка с помощта на инструменти за анализ, които дават възможност за анализ на двоичните файлове на хиляди приложения. Технологията им позволява да идентифицират не само с кои библиотеки са съставени тези приложения, но и кои версии от тези библиотеки. Както се оказва, това е невероятно полезно за идентифициране на кои приложения могат да бъдат повлияни от известни бъгове и уязвимости. Според издадената хартия,

„SourceDNA създаде различен отпечатък от тях, за да намери уязвимия код. Мислете за това като за набор от уникални характеристики, които са присъствали или липсват само в целевата версия, а не на други преди или след нея. С този набор от подписи, нашата машина за анализ ще ни каже точно коя версия на AFNetworking се използва във всяко приложение. “

Много от засегнатите приложения съхраняват и предават данни за потребителска кредитна карта, включително на Мобилно приложение Alibaba.com, KYBankAgent 3.0, и Точка за продажба на ресторант Revo. Няколко милиона потребители имат инсталирано уязвимо приложение на iOS устройството си - изумително количество експозиция от такава кратка грешка.

„5% или около 1000 приложения имаха недостатъка. Важни ли са тези приложения? Сравнихме ги с нашите данни за ранг и открихме някои големи играчи: Yahoo!, Microsoft, Uber, Citrix и т.н. Удивява ни, че библиотека с отворен код, която въведе пропуск в сигурността само за 6 седмици, е изложена милиони потребители да атакуват. "

Оценка на въздействието на AFNetworking Bug

Колко лоша е тази уязвимост? Грешката позволява на атакуващите да заблудят приложенията да мислят, че комуникират чрез защитена връзка с надежден сървър. Ако използвате уязвимо приложение, всеки в същата WiFi мрежа като вас можете да настроите атака на човек в средата Какво е атака на човек в средата? Обяснен жаргон за сигурностАко сте чували за атаки "човек в средата", но не сте съвсем сигурни какво означава това, това е статията за вас. Прочетете още и прихващане на информация от приложенията, включително чувствителни данни като информация за кредитна карта. След това тази информация може да се използва за улесняване кражба на самоличност 6 Предупредителни знаци за кражба на цифрова идентичност, която не бива да пренебрегватеКражбата на самоличност не е твърде рядко срещано събитие в наши дни, но въпреки това често попадаме в капана на мисълта, че винаги ще се случва на "някой друг". Не пренебрегвайте предупредителните знаци. Прочетете още и други форми на измама. Потенциално този вид атака може да бъде автоматизирана за насочване към популярни приложения.

Редица компании изскочиха актуализации и поправки след появата на новините, включително Microsoft и Yahoo. Повечето от приложенията обаче остават неподправени. За да видите дали приложенията, които използвате, са засегнати, можете да използвате инструмента за търсене SourceDNA. Ако откриете, че някое от вашите приложения е все още уязвимо, най-сигурната стратегия е да го изтриете временно и да изпратите съобщение на разработчиците, като ги помолите да извадят кръпка възможно най-скоро.

SourceDNA е умен инструмент и това показва, че тяхната технология е наистина полезна. Компютърната сигурност е трудна и инструмент, който може да автоматизира процеса на търсене на непоправени грешки - със или без сътрудничество с програмисти - е огромна печалба за сигурността на потребителите. Без този вид проверка, тази широко разпространена грешка щеше да съществува, вероятно доста дълго време. Този вид анализ позволява масово обществено срамуване, което прави разработчиците много по-отговорни и изглежда вероятно SourceDNA да разкрие други неоткрити и нерешени проблеми.

Засегнато ли е вашето устройство с iOS от грешката AFNetworking? Вълнувате ли се от тези нови инструменти за анализи? Уведомете ни в коментарите!

Образни кредити: “Кибервоенна война на ВМС на САЩ, "" IPhone отпред, "iPhone камера“, От Уикимедия