reklama

SourceDNA, platforma pro analýzu kódu, která audituje aplikace pro Android a iOS, nedávno vydala zprávu s uvedením že více než 1 000 aplikací pro iOS má vážnou bezpečnostní chybu, která by mohla ohrozit finanční prostředky uživatele podrobnosti.

Chyba brání správnému ověření aplikací SSL certifikáty Co je to SSL certifikát a potřebujete jej?Prohlížení internetu může být děsivé, pokud se jedná o osobní údaje. Přečtěte si více , otevírá aplikace až do několika útoků typu člověk-uprostřed. I když tato aplikace nemá vliv na zabezpečení samotného systému iOS Zabezpečení smartphonu: Mohou iPhony získat malware?Malware, který ovlivňuje „tisíce“ telefonů iPhone, může krást přihlašovací údaje App Store, ale většina uživatelů iOS je naprosto bezpečná - co tedy řeší iOS a nepoctivý software? Přečtěte si více , mohlo by to ohrozit uživatelská data přenášená prostřednictvím postižených aplikací ...

Jednoduchá chyba, která porušuje SSL

iphonefront

chyba v pochybnost je v balíčku AFNetworking, oblíbeném open-source síťovém řešení používaném v tisících aplikací App Store. Chyba je jednoduchá logická chyba, která zastaví skutečnou kontrolu SSL a vrací všechny kontroly certifikátů jako platné. Nejedná se o masivní bezpečnostní katastrofu

instagram viewer
HeartBleed Heartbleed - Co můžete udělat, abyste zůstali v bezpečí? Přečtěte si více nebo ShellShock Horší než srdce? Seznamte se s ShellShock: Nová bezpečnostní hrozba pro OS X a Linux Přečtěte si více - ale je to problém, pokud používáte aplikaci, která obsahuje chybu. Naštěstí chyba existovala pouze asi šest týdnů, přidána v 2.5.1 a opravena v 2.5.2. Dalo by se rozumně předpokládat, že je to konec příběhu.

Bohužel ne.

Je smutné, že mnoho vývojářů aktivně neaktualizuje své aplikace s opravami chyb a existují i banda aplikací, které stále používají nefunkční verzi AFNetworking, a to i přes dostupnost a náplast. SourceDNA analyzovala 20 000 aplikací, které obsahují verze balíčku AFNetworking, a zjistila, že asi 1 000 stále používá nefunkční kontrolu SSL.

iphoneback

SourceDNA byla schopna provést tuto kontrolu pomocí analytických nástrojů, které umožňují analyzovat binární soubory tisíců aplikací. Jejich technologie jim umožňuje identifikovat nejen knihovny, se kterými byly tyto aplikace zkompilovány, ale které verze z těchto knihoven. Ukazuje se, že je to neuvěřitelně užitečné pro určení, které aplikace mohou být ovlivněny známými chybami a zranitelnostmi. Podle vydaného článku,

„SourceDNA od nich vytvořila diferenciální otisk prstu, aby našla zranitelný kód. Přemýšlejte o tom jako o souboru jedinečných charakteristik, které byly přítomny nebo chyběly pouze v cílené verzi, a nikoliv jiné před nebo po ní. S touto sadou podpisů by náš analytický stroj přesně řekl, která verze AFNetworking byla používána v každé aplikaci.

Mnoho dotčených aplikací ukládá a přenáší údaje o kreditní kartě uživatele, včetně Mobilní aplikace Alibaba.com, KYBankAgent 3.0, a Prodejní místo Revo Restaurant. Několik milionů uživatelů má na svém zařízení se systémem iOS nainstalovanou zranitelnou aplikaci - úžasné množství expozice z takové krátké chyby.

„5% nebo asi 1 000 aplikací mělo chybu. Jsou tyto aplikace důležité? Srovnali jsme je s našimi hodnostními údaji a našli jsme několik velkých hráčů: Yahoo!, Microsoft, Uber, Citrix atd. Překvapuje nás, že knihovna s otevřeným zdrojovým kódem, která představila bezpečnostní chybu pouze po dobu 6 týdnů, byla odhalena miliony uživatelů k útoku. “

Posouzení dopadu AFNetworking Bug

Jak špatná je tato chyba zabezpečení? Chyba umožňuje útočníkům oklamat aplikace, aby si mysleli, že komunikují prostřednictvím zabezpečeného připojení s důvěryhodným serverem. Pokud používáte zranitelnou aplikaci, kdokoli ve stejné síti Wi-Fi, kterou můžete nastavit útok uprostřed člověka Co je to Man-in-the-Middle Attack? Bezpečnostní žargon vysvětlilPokud jste již slyšeli o útokech typu „člověk uprostřed“, ale nejste si jisti, co to znamená, toto je článek pro vás. Přečtěte si více a zachytit informace z aplikací, včetně citlivých dat, jako jsou informace o kreditní kartě. Tyto informace by pak mohly být použity k usnadnění krádež identity 6 Varovné příznaky krádeže digitální identity, které byste neměli ignorovatKrádež identity není v dnešní době příliš vzácná, přesto se často dostáváme do pasti myšlení, že se vždy stane „někomu jinému“. Nevšímejte si výstražných značek. Přečtěte si více a další formy podvodu. Tento útok by mohl být případně zacílen na cílené populární aplikace.

081203-N-2147L-390

Řada společností spěchala od aktualizace zpráv a oprav, včetně Microsoft a Yahoo. Většina aplikací však zůstává nepatřená. Chcete-li zjistit, zda jsou ovlivněny aplikace, které používáte, můžete použít vyhledávací nástroj SourceDNA. Pokud zjistíte, že jedna z vašich aplikací je stále zranitelná, nejbezpečnější strategií je dočasné odstranění a vývojářům pošlete zprávu, aby je co nejdříve vydali.

SourceDNA je chytrý nástroj, což ukazuje, že jejich technologie je skutečně užitečná. Počítačová bezpečnost je tvrdá a nástroj, který může automatizovat proces hledání neodesílaných chyb - s nebo bez spolupráce vývojářů - je obrovskou výhrou pro bezpečnost uživatelů. Bez této kontroly by tato rozšířená chyba přetrvávala pravděpodobně pravděpodobně dlouhou dobu. Tento druh analýzy umožňuje hromadné veřejné hanby, díky nimž jsou vývojáři mnohem odpovědnější, a zdá se pravděpodobné, že SourceDNA odhalí další neodhalené a nevyřešené problémy.

Ovlivňuje vaše zařízení iOS chybu AFNetworking? Jste těmito novými analytickými nástroji nadšeni? Dejte nám vědět v komentářích!

Obrazové kredity: “US Navy Cyberwarfare“„ Přední část iPhone, “Kamera pro iPhone“, Wikimedia

Andrej je spisovatel a novinář se sídlem na jihozápadě, s garantovanou funkčností do 50 stupňů Celcius a je vodotěsný do hloubky dvanácti stop.