1500 приложения за iOS са уязвими за пропуск в сигурността

Потърсихме сред най-често изтегляните приложения в App Store и открихме, че много малко от най-популярните безплатни и платени приложения все още са засегнати от грешката. Независимо от това, най-добре е да проверите дали приложенията ви са уязвими и да научите как да се защитите.

Ето всичко, което трябва да знаете.

Ето как хакерите се възползват от недостатъка

Според охранителна фирма, около два милиона души са инсталирали приложения, които страдат от парализираща HTTPS уязвимост. Приложенията включват Citrix OpenVoice Audio Conferencing, мобилното приложение на Alibaba, филми от Flixster с Rotten Tomatoes, KYBankAgent 3.0 и Revo Restaurant Point of Sale, наред с други. Изследователите се опитват да запазят пълния списък с приложения в тайна, за да избегнат отварянето на потребителите на iOS за повече хакери, които биха използвали уязвимостта за нечестиви цели. На своя уебсайт обаче SourceDNA предлага инструмент на разработчиците, за да могат да проверят дали приложенията им са безопасни.

The изследователи установи, че уязвимостта идва от проблем в по-стара версия на библиотека с отворен код, наречена AFNetworking, която позволява на разработчиците да добавят мрежови възможности към своите приложения. AFNetworking коригира проблема преди около три седмици и много разработчици вече са актуализирали своите приложения за iOS, за да затворят дупката, но поне 1500 приложения за iOS все още са уязвими. Сред компаниите, които вече са коригирали грешката, са Yahoo, Uber и Microsoft.

Вашите приложения за iOS имат ли грешка при проверката на AFNetworking SSL, разкривайки информацията на вашите потребители? Разберете тук! http://t.co/Y4cwr9vwXb

— SourceDNA (@SourceDNA) 20 април 2015 г

SourceDNA обясни в публикация в блог, че всяко приложение, което все още използва по-старата версия на Кодът на AFNetworking е уязвим за атаки тип човек по средата, които позволяват на хакерите да дешифрират HTTPS-шифровани данни. Ето как работи: Хакерите, които искат да се възползват от недостатъка, просто скачат в Wi-Fi мрежа на кафене, за да наблюдават целевото устройство. След това хакерите изпращат на устройството измамен сертификат за ниво на защитени сокети. Обикновено устройството ще разбере, че сертификатът е фалшив и ще прекъсне връзката веднага. Въпреки това устройства с приложения, които изпълняват по-старата версия на кода AFNetworking, имат логическа грешка, която позволява на фалшивия сертификат да премине без проверка за сигурност.

Причината, поради която проверката никога не се извършва от тези приложения е, че AFNetwork версия 2.5.1 не предлага фиксиране на сертификат, което гарантира, че приложенията използват конкретен сертификат за HTTPS удостоверяване и криптиране. Липсата на тази допълнителна проверка за сигурност оставя засегнатите приложения напълно отворени за хакери. Сега, когато SourceDNA разкри публично уязвимостта, разработчиците на приложения най-вероятно ще предприемат действия, за да коригират недостатъка, но може да отнеме време.

Ето как да се предпазите

Въз основа на доклада изглежда, че хакерите трябва да се насочат към вашето устройство, използвайки обществени Wi-Fi мрежи като тези, открити в кафенета и магазини. Всяка ненадеждна Wi-Fi мрежа трябва да се избягва за момента. Можете също така да изключите фоновото опресняване на приложението на вашия iPhone или iPad, така че приложенията да не се опитват да се свързват с отворени мрежи.

Ако се притеснявате, че вашият iPhone или iPad може да съдържа засегнати приложения, можете проверете вашите приложения с помощта на инструмента на SourceDNA. Трябва също така да актуализирате всичките си приложения, в случай че засегнатите разработчици вече са издали актуализация, за да закърпят дупката. Можете да актуализирате вашите приложения, като отидете в приложението App Store и отворите раздела за актуализации в долния десен ъгъл.

Използвахме инструмента на SourceDNA, за да търсим шепа популярни приложения в App Store, за да видим кои са засегнати от грешката. Установихме, че по-голямата част от приложенията в топ 100 безплатни приложения в App Store са безопасни. Проверихме и няколко най-добре платени приложения и открихме много малко засегнати.

Както можете да видите, броят на засегнатите приложения, които са популярни, всъщност е много малък и този брой продължава да намалява, докато компаниите извършват актуализации. Въпреки че 1500 приложения звучат като огромен брой, като се имат предвид милионите приложения в App Store, реалността е много по-малка, отколкото си мислите. Въпреки това е по-добре да се предпазите, отколкото да съжалявате, така че вижте приложенията си тук.

Препоръки на редакторите

• 17 скрити функции на iOS 17, за които трябва да знаете
• 11 функции в iOS 17, които нямам търпение да използвам на моя iPhone
• iOS 17 не е актуализацията на iPhone, на която се надявах
• Всичко, което Apple не добави към iOS 17
• Моят iPhone ще получи ли iOS 17? Ето всеки поддържан модел

Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.