Реклама
SourceDNA, платформа для анализа кода, которая проверяет приложения для Android и iOS, недавно выпустила отчет о том, что что более 1000 приложений для iOS имеют серьезную уязвимость безопасности, которая может поставить под угрозу финансовые подробности.
Ошибка препятствует правильной аутентификации приложений SSL-сертификаты Что такое SSL-сертификат и нужен ли он вам?Просматривать Интернет может быть страшно, когда речь идет о личной информации. Читать далее , открывая приложения для ряда атак «человек посередине». Хотя это приложение не влияет на безопасность самой iOS Безопасность смартфона: могут ли айфоны получить вредоносное ПО?Вредоносные программы, затрагивающие «тысячи» айфонов, могут украсть учетные данные App Store, но большинство пользователей iOS абсолютно безопасны. Так в чем же дело с iOS и мошенническим программным обеспечением? Читать далее , это может поставить под угрозу пользовательские данные, передаваемые через уязвимые приложения ...
Простая ошибка, которая нарушает SSL
рассматриваемая ошибка входит в пакет AFNetworking, популярное сетевое решение с открытым исходным кодом, используемое в тысячах приложений App Store. Ошибка представляет собой простую логическую ошибку, которая останавливает проверку SSL, возвращая все проверки сертификата как действительные. Это не серьезная катастрофа безопасности, как HeartBleed Heartbleed - Что вы можете сделать, чтобы оставаться в безопасности? Читать далее или ShellShock Хуже, чем сердцебиение? Встречайте ShellShock: новая угроза безопасности для OS X и Linux Читать далее - но это проблема, если вы используете приложение, которое содержит ошибку. К счастью, ошибка существовала всего около шести недель, добавлена в 2.5.1 и исправлена в 2.5.2. Вы можете разумно предположить, что это конец истории.
К сожалению нет.
К сожалению, многие разработчики не активно обновляют свои приложения с помощью исправлений ошибок, и есть куча приложений, которые все еще используют сломанную версию AFNetworking, несмотря на наличие залатать. SourceDNA проанализировала 20 000 приложений, которые содержат версии пакета AFNetworking, и определила, что около 1000 все еще используют неработающую проверку SSL.
SourceDNA смогла выполнить эту проверку с помощью аналитических инструментов, которые позволяют анализировать двоичные файлы тысяч приложений. Их технология позволяет им определять не только с какими библиотеками были скомпилированы эти приложения, но и с какими версии из этих библиотек. Оказывается, это невероятно полезно для определения того, на какие приложения могут влиять известные ошибки и уязвимости. Согласно опубликованной газете,
«SourceDNA создал отличительный отпечаток пальца, чтобы найти уязвимый код. Думайте об этом как о наборе уникальных характеристик, которые присутствовали или отсутствовали только в целевой версии, а не как другие до или после нее. С этим набором сигнатур наш механизм анализа сообщит нам, какая именно версия AFNetworking используется в каждом приложении. “
Многие из затронутых приложений хранят и передают данные пользовательских кредитных карт, в том числе Alibaba.com мобильное приложение, KYBankAgent 3.0, а также Ресторан Revo Торговая точка. Несколько миллионов пользователей имеют уязвимое приложение, установленное на их устройстве iOS - удивительное количество разоблачения от такой короткой ошибки.
«5% или около 1000 приложений имели недостаток. Важны ли эти приложения? Мы сравнили их с нашими рейтинговыми данными и нашли крупных игроков: Yahoo!, Microsoft, Uber, Citrix и т. Д. Нас удивляет, что библиотека с открытым исходным кодом, которая представила уязвимость безопасности всего за 6 недель миллионы пользователей для атаки ».
Оценка воздействия AFNetworking Bug
Насколько плоха эта уязвимость? Эта ошибка позволяет злоумышленникам обмануть приложения, заставляя их думать, что они общаются через защищенное соединение с доверенным сервером. Если вы используете уязвимое приложение, любой пользователь в той же сети Wi-Fi, что и вы, может настроить атака "человек посередине" Что такое атака «человек посередине»? Безопасность Жаргон объяснилЕсли вы слышали о атаках «человек посередине», но не совсем уверены, что это значит, эта статья для вас. Читать далее и перехватывать информацию из приложений, включая конфиденциальные данные, такие как данные кредитной карты. Эта информация может быть использована для облегчения кража личных данных 6 предупреждающих знаков кражи цифровой информации, которую вы не должны игнорироватьВ наши дни кража личных данных не так уж редка, но мы часто попадаем в ловушку, думая, что это всегда случится с «кем-то другим». Не игнорируйте предупреждающие знаки. Читать далее и другие формы мошенничества. Потенциально, этот вид атаки может быть автоматизирован для нацеливания на популярные приложения.
Ряд компаний выпустили обновления и исправления после выхода новостей, включая Microsoft и Yahoo. Большинство приложений, тем не менее, остаются не исправленными. Чтобы проверить, не затрагиваются ли используемые вами приложения, вы можете воспользоваться инструментом поиска SourceDNA. Если вы обнаружите, что одно из ваших приложений по-прежнему уязвимо, самая безопасная стратегия - временно удалить его и сообщить разработчикам, как можно скорее, выпустить патч.
SourceDNA - умный инструмент, и это демонстрирует, что их технология действительно полезна. Компьютерная безопасность сложна, и инструмент, который может автоматизировать процесс поиска исправленных ошибок - с участием разработчиков или без него - является огромным выигрышем для безопасности пользователей. Без такой проверки эта распространенная ошибка сохранялась бы, вероятно, довольно долго. Этот вид анализа делает возможным массовый публичный позор, который делает разработчиков намного более ответственными, и кажется вероятным, что SourceDNA обнаружит дальнейшие необнаруженные и нерешенные проблемы.
Подвержена ли ошибка вашего устройства iOS ошибкам AFNetworking? Вы взволнованы этими новыми инструментами аналитики? Дайте нам знать об этом в комментариях!
Изображение предоставлено: «Кибервойна ВМС США, «IPhone перед»,iPhone камера«Викимедией
Андре, писатель и журналист, работающий на юго-западе, гарантированно будет работать до 50 градусов Цельсия и водонепроницаем на глубине до двенадцати футов.
