Reklama

SourceDNA, platforma analizy kodu, która kontroluje aplikacje na Androida i iOS, niedawno opublikowała raport wskazujący że ponad 1000 aplikacji na iOS ma poważną lukę w zabezpieczeniach, która może zagrozić finansom użytkownika Detale.

Błąd uniemożliwia prawidłowe uwierzytelnianie aplikacji Certyfikaty SSL Co to jest certyfikat SSL i czy go potrzebujesz?Przeglądanie Internetu może być przerażające, gdy w grę wchodzą dane osobowe. Czytaj więcej , otwierając aplikacje na szereg ataków typu man-in-the-middle. Chociaż ta aplikacja nie wpływa na bezpieczeństwo samego iOS Zabezpieczenia smartfonów: czy iPhone'y mogą dostać złośliwe oprogramowanie?Szkodliwe oprogramowanie, które wpływa na „tysiące” iPhone'ów, może wykraść dane logowania do App Store, ale większość użytkowników iOS jest całkowicie bezpieczna - więc co to za sprawa z iOS i nieuczciwym oprogramowaniem? Czytaj więcej , może narazić na szwank dane użytkownika przesyłane przez aplikacje, których dotyczy problem…

Prosty błąd, który łamie SSL

instagram viewer
iphonefront

The błąd, o którym mowa znajduje się w pakiecie AFNetworking, popularnym rozwiązaniu sieciowym typu open source stosowanym w tysiącach aplikacji App Store. Błąd jest prostym błędem logicznym, który zatrzymuje faktyczne sprawdzenie SSL, zwracając wszystkie testy certyfikatów jako prawidłowe. To nie jest tak poważna katastrofa bezpieczeństwa jak HeartBleed Heartbleed - Co możesz zrobić, aby zachować bezpieczeństwo? Czytaj więcej lub Nerwica wojenna Gorzej niż Heartbleed? Poznaj ShellShock: nowe zagrożenie bezpieczeństwa dla systemów OS X i Linux Czytaj więcej - ale to problem, jeśli korzystasz z aplikacji zawierającej błąd. Na szczęście błąd istniał tylko przez około sześć tygodni, dodany w wersji 2.5.1 i naprawiony w wersji 2.5.2. Można rozsądnie założyć, że to koniec historii.

Niestety nie.

Niestety, wielu programistów nie aktywnie aktualizuje swoich aplikacji za pomocą poprawek błędów kilka aplikacji, które nadal używają zepsutej wersji AFNetworking, pomimo dostępności łata. SourceDNA przeanalizował 20 000 aplikacji zawierających wersje pakietu AFNetworking i ustalił, że około 1000 nadal korzysta z zepsutego sprawdzania protokołu SSL.

iphoneback

SourceDNA był w stanie przeprowadzić tę kontrolę, korzystając z narzędzi analitycznych, które umożliwiają analizę plików binarnych tysięcy aplikacji. Ich technologia pozwala im nie tylko zidentyfikować biblioteki, z którymi te aplikacje zostały skompilowane, ale także które wersje tych bibliotek. Jak się okazuje, jest to niezwykle przydatne do określenia, na które aplikacje mogą mieć wpływ znane błędy i luki. Według opublikowanego dokumentu

„SourceDNA stworzył z nich różnicowy odcisk palca, aby znaleźć podatny kod. Pomyśl o tym jako o zestawie unikalnych cech, które były obecne lub nieobecne tylko w wersji docelowej, a nie innych przed nią lub po niej. Dzięki temu zestawowi podpisów nasz silnik analityczny powiedziałby nam dokładnie, która wersja AFNetworking była używana w każdej aplikacji.

Wiele aplikacji, których dotyczy problem, przechowuje i przesyła dane karty kredytowej użytkownika, w tym Aplikacja mobilna Alibaba.com, KYBankAgent 3.0, i Punkt sprzedaży restauracji Revo. Kilka milionów użytkowników ma na swoim urządzeniu iOS zainstalowaną podatną na ataki aplikację - zadziwiająca ilość ujawnień po tak krótkim błędzie.

„Wada miała 5% lub około 1000 aplikacji. Czy te aplikacje są ważne? Porównaliśmy je z naszymi danymi rankingowymi i znaleźliśmy kilku dużych graczy: Yahoo!, Microsoft, Uber, Citrix itp. Dziwi nas biblioteka open source, która ujawniła lukę w zabezpieczeniach tylko przez 6 tygodni miliony użytkowników do ataku. ”

Ocena wpływu Błąd sieci AF

Jak słaba jest ta luka? Błąd pozwala atakującym oszukać aplikacje, które myślą, że komunikują się za pośrednictwem bezpiecznego połączenia z zaufanym serwerem. Jeśli korzystasz z aplikacji podatnej na zagrożenia, każdy w tej samej sieci Wi-Fi, co Ty możesz skonfigurować atak człowieka w środku Co to jest atak man-in-the-Middle? Wyjaśnienie żargonu bezpieczeństwaJeśli słyszałeś o atakach typu „man-in-the-middle”, ale nie jesteś pewien, co to oznacza, ten artykuł jest dla Ciebie. Czytaj więcej i przechwytywać informacje z aplikacji, w tym poufne dane, takie jak dane karty kredytowej. Informacje te można by następnie wykorzystać w celu ułatwienia kradzież tożsamości 6 znaków ostrzegawczych przed kradzieżą tożsamości cyfrowej, której nie powinieneś ignorowaćKradzież tożsamości nie jest obecnie zbyt rzadkim zjawiskiem, ale często wpadamy w pułapkę myślenia, że ​​zawsze zdarzy się to „komuś innemu”. Nie ignoruj ​​znaków ostrzegawczych. Czytaj więcej i inne formy oszustwa. Potencjalnie ten rodzaj ataku mógłby zostać zautomatyzowany w celu atakowania popularnych aplikacji.

081203-N-2147L-390

Wiele firm wprowadziło aktualizacje i poprawki od czasu publikacji wiadomości, w tym Microsoft i Yahoo. Większość aplikacji pozostaje jednak niepakowana. Aby sprawdzić, czy dotyczy to używanych aplikacji, możesz użyć narzędzia wyszukiwania SourceDNA. Jeśli odkryjesz, że jedna z twoich aplikacji jest nadal podatna na ataki, najbezpieczniejszą strategią jest tymczasowe usunięcie jej i powiadom programistów, aby jak najszybciej opublikowali łatkę.

SourceDNA jest sprytnym narzędziem, co pokazuje, że ich technologia jest naprawdę użyteczna. Bezpieczeństwo komputera jest trudne, a narzędzie, które może zautomatyzować proces szukania niezałatanych błędów - z lub bez współpracy programisty - jest ogromną korzyścią dla bezpieczeństwa użytkownika. Bez tego rodzaju sprawdzania ten powszechny błąd utrzymywałby się, prawdopodobnie przez dość długi czas. Tego rodzaju analiza umożliwia masowe publiczne zawstydzanie, co czyni programistów znacznie bardziej odpowiedzialnymi i wydaje się prawdopodobne, że SourceDNA odkryje dalsze nierozpoznane i nierozwiązane problemy.

Czy na twoje urządzenie iOS wpływa błąd AFNetworking? Czy ekscytują Cię nowe narzędzia analityczne? Daj nam znać w komentarzach!

Zdjęcia: „Cyberwarfare marynarki wojennej USA, ”„ IPhone przód ”aparat iPhone„, Wikimedia

Andre, pisarz i dziennikarz z południowego zachodu, gwarantuje funkcjonalność do 50 stopni Celsjusza i jest wodoodporny do głębokości dwunastu stóp.