Strona główna Bezpieczeństwo 1000 aplikacji na iOS ma problem z paraliżującym błędem SSL. Jak sprawdzić, czy to dotyczy Ciebie

1000 aplikacji na iOS ma problem z paraliżującym błędem SSL. Jak sprawdzić, czy to dotyczy Ciebie

  • Harry James
  • 0
  • 4726
  • 780
Reklama

SourceDNA, platforma analizy kodu, która kontroluje aplikacje na Androida i iOS, niedawno opublikowała raport wskazujący, że ponad 1000 aplikacji na iOS ma poważną lukę w zabezpieczeniach, która może zagrozić szczegółom finansowym użytkownika.

Błąd uniemożliwia aplikacjom prawidłowe uwierzytelnianie certyfikatów SSL Co to jest certyfikat SSL i czy go potrzebujesz? Co to jest certyfikat SSL i czy go potrzebujesz? Przeglądanie Internetu może być przerażające, gdy w grę wchodzą dane osobowe. , otwierając aplikacje na szereg ataków typu man-in-the-middle. Chociaż ta aplikacja nie wpływa na bezpieczeństwo samego systemu iOS Zabezpieczenia smartfonów: czy iPhone może dostać złośliwe oprogramowanie? Zabezpieczenia smartfonów: czy iPhone'y mogą dostać złośliwe oprogramowanie? Złośliwe oprogramowanie, które wpływa na „tysiące” iPhone'ów, może wykraść dane logowania do App Store, ale większość użytkowników iOS jest całkowicie bezpieczna - więc co to za sprawa z iOS i nieuczciwym oprogramowaniem? , może narazić na szwank dane użytkownika przesyłane przez aplikacje, których dotyczy problem…

Prosty błąd, który łamie SSL

Omawiany błąd znajduje się w pakiecie AFNetworking, popularnym rozwiązaniu sieciowym typu open source stosowanym w tysiącach aplikacji App Store. Błąd jest prostym błędem logicznym, który zatrzymuje faktyczne sprawdzenie SSL, zwracając wszystkie testy certyfikatów jako prawidłowe. To nie jest tak poważna katastrofa bezpieczeństwa jak HeartBleed Heartbleed - co możesz zrobić, aby zachować bezpieczeństwo? Heartbleed - Co możesz zrobić, aby zachować bezpieczeństwo? czy ShellShock Gorzej niż Heartbleed? Poznaj ShellShock: nowe zagrożenie bezpieczeństwa dla systemów OS X i Linux Gorzej niż Heartbleed? Poznaj ShellShock: nowe zagrożenie bezpieczeństwa dla systemów OS X i Linux - ale jest to problem, jeśli korzystasz z aplikacji zawierającej błąd. Na szczęście błąd istniał tylko przez około sześć tygodni, dodany w wersji 2.5.1 i naprawiony w wersji 2.5.2. Można rozsądnie założyć, że to koniec historii.

Niestety nie.

Niestety, wielu programistów nie aktualizuje aktywnie swoich aplikacji za pomocą poprawek błędów, a istnieje wiele aplikacji, które wciąż używają uszkodzonej wersji AFNetworking, pomimo dostępności łatki. SourceDNA przeanalizował 20 000 aplikacji zawierających wersje pakietu AFNetworking i ustalił, że około 1000 nadal korzysta z zepsutego sprawdzania protokołu SSL.

SourceDNA był w stanie przeprowadzić tę kontrolę za pomocą narzędzi analitycznych, które umożliwiają analizę plików binarnych tysięcy aplikacji. Ich technologia pozwala im nie tylko zidentyfikować biblioteki, z którymi te aplikacje zostały skompilowane, ale także które wersje tych bibliotek. Jak się okazuje, jest to niezwykle przydatne do określenia, na które aplikacje mogą mieć wpływ znane błędy i luki. Według opublikowanego dokumentu,

“SourceDNA utworzył z nich różnicowy odcisk palca, aby znaleźć podatny kod. Pomyśl o tym jako o zestawie unikalnych cech, które były obecne lub nieobecne tylko w wersji docelowej, a nie innych przed nią lub po niej. Dzięki temu zestawowi podpisów nasz silnik analityczny powiedziałby nam dokładnie, która wersja AFNetworking była używana w każdej aplikacji. “

Wiele aplikacji, których dotyczy problem, zapisuje i przesyła dane kart kredytowych użytkowników, w tym aplikację mobilną Alibaba.com, KYBankAgent 3.0 i punkt sprzedaży w restauracji Revo. Kilka milionów użytkowników ma na swoim urządzeniu iOS zainstalowaną podatną na ataki aplikację - zadziwiająca ilość ujawnień po tak krótkim błędzie.

“Wada miała 5% lub około 1000 aplikacji. Czy te aplikacje są ważne? Porównaliśmy je z naszymi danymi rankingowymi i znaleźliśmy kilku dużych graczy: Yahoo !, Microsoft, Uber, Citrix itp. Dziwi nas biblioteka open source, która ujawniła lukę w zabezpieczeniach tylko przez 6 tygodni miliony użytkowników do ataku.”

Ocena wpływu błędu AFNetworking

Jak słaba jest ta luka? Błąd pozwala atakującym oszukać aplikacje, które myślą, że komunikują się za pośrednictwem bezpiecznego połączenia z zaufanym serwerem. Jeśli korzystasz z aplikacji podatnej na zagrożenia, każdy w tej samej sieci Wi-Fi, w której możesz przeprowadzić atak typu man-in-the-middle Co to jest atak typu man-in-the-Middle? Wyjaśnienie żargonu bezpieczeństwa Czym jest atak typu man-in-the-middle? Wyjaśnienie żargonu bezpieczeństwa Jeśli słyszałeś o atakach typu „człowiek w środku”, ale nie masz pewności, co to znaczy, to jest ten artykuł dla Ciebie. i przechwytywać informacje z aplikacji, w tym poufne dane, takie jak dane karty kredytowej. Informacje te mogą być następnie wykorzystane do ułatwienia kradzieży tożsamości 6 znaków ostrzegawczych przed kradzieżą tożsamości cyfrowej, których nie powinieneś ignorować 6 znaków ostrzegawczych przed kradzieżą tożsamości cyfrowej, których nie powinieneś ignorować Kradzież tożsamości nie jest dziś zbyt rzadkim zjawiskiem, jednak często wpaść w pułapkę myślenia, że ​​zawsze stanie się to z „kimś innym”. Nie ignoruj ​​znaków ostrzegawczych. i inne formy oszustwa. Potencjalnie ten rodzaj ataku mógłby zostać zautomatyzowany w celu atakowania popularnych aplikacji.

Wiele firm wprowadziło aktualizacje i poprawki od czasu publikacji wiadomości, w tym Microsoft i Yahoo. Większość aplikacji pozostaje jednak niepakowana. Aby sprawdzić, czy dotyczy to używanych aplikacji, możesz użyć narzędzia wyszukiwania SourceDNA. Jeśli odkryjesz, że jedna z twoich aplikacji jest nadal podatna na atak, najbezpieczniejszą strategią jest tymczasowe usunięcie jej i powiadom programistów, aby jak najszybciej opublikowali łatkę.

SourceDNA jest sprytnym narzędziem, co pokazuje, że ich technologia jest naprawdę użyteczna. Bezpieczeństwo komputera jest trudne, a narzędzie, które może zautomatyzować proces szukania niezałatanych błędów - z lub bez współpracy programisty - jest ogromną korzyścią dla bezpieczeństwa użytkownika. Bez tego rodzaju sprawdzania ten powszechny błąd utrzymywałby się, prawdopodobnie przez dość długi czas. Tego rodzaju analiza umożliwia masowe publiczne zawstydzanie, co czyni programistów znacznie bardziej odpowiedzialnymi i wydaje się prawdopodobne, że SourceDNA odkryje dalsze niewykryte i nierozwiązane problemy.

Czy na twoje urządzenie iOS ma wpływ błąd AFNetworking?? Czy ekscytują Cię nowe narzędzia analityczne? Daj nam znać w komentarzach!

Kredyty obrazkowe: “Cyberwarfare marynarki wojennej USA,” “iPhone przód, “aparat iPhone“, autor: Wikimedia




Jeszcze bez komentarzy

Jak czyścić ekran laptopa, obudowę, klawiaturę i wentylatory
majsterkowanie
Najlepszy przewodnik po podłączaniu pasków świetlnych LED do Arduino
majsterkowanie
7 samodzielnych projektów solarnych dla przetrwania poza siecią
majsterkowanie
O nowoczesnej technologii, prostej i niedrogiej.
Twój przewodnik w świecie nowoczesnych technologii. Dowiedz się, jak korzystać z technologii i gadżetów, które nas otaczają każdego dnia i dowiedz się, jak odkrywać ciekawe rzeczy w Internecie.