Vi fandt ud af, at langt de fleste apps i de 100 bedste gratis apps i App Store er sikre.
Anbefalede videoer
Vi søgte gennem de mest almindeligt downloadede apps i App Store og fandt ud af, at meget få af de mest populære gratis og betalte apps stadig er berørt af fejlen. Uanset hvad er det bedst at tjekke, om dine apps er sårbare, og at lære, hvordan du beskytter dig selv.
Her er alt, hvad du behøver at vide.
Her er, hvordan hackere udnytter fejlen
Ifølge sikkerhedsfirma, omkring to millioner mennesker har installeret apps, der lider af HTTPS-lammende sårbarhed. Apps inkluderer Citrix OpenVoice Audio Conferencing, Alibabas mobilapp, Movies by Flixster with Rotten Tomatoes, KYBankAgent 3.0 og Revo Restaurant Point of Sale, blandt andre. Forskerne forsøger at holde den fulde liste over apps skjult for at undgå at åbne iOS-brugere op for flere hackere, der ville bruge sårbarheden til ondsindede formål. Men på sin hjemmeside tilbyder SourceDNA et værktøj til udviklere, så de kan tjekke, om deres apps er sikre.
Det forskere fandt ud af, at sårbarheden kommer fra et problem i en ældre version af et open source-kodebibliotek kaldet AFNetworking, som giver udviklere mulighed for at tilføje netværksfunktioner til deres apps. AFNetworking løste problemet for omkring tre uger siden, og mange udviklere har allerede opdateret deres iOS-apps for at lukke hullet, men mindst 1.500 iOS-apps er stadig sårbare. Blandt de virksomheder, der allerede har rettet fejlen, er Yahoo, Uber og Microsoft.
Har dine iOS-apps AFNetworking SSL-valideringsfejlen, som afslører dine brugeres oplysninger? Find ud af det her! http://t.co/Y4cwr9vwXb
— SourceDNA (@SourceDNA) 20. april 2015
SourceDNA forklarede i et blogindlæg, at enhver app, der stadig bruger den ældre version af AFNetworking-kode er sårbar over for man-in-the-middle-angreb, der tillader hackere at dekryptere HTTPS-krypterede data. Sådan fungerer det: Hackere, der ønsker at udnytte fejlen, hopper blot ind på en kaffebars Wi-Fi-netværk for at overvåge den målrettede enhed. Hackerne sender derefter enheden et svigagtigt sikker socket-lagcertifikat. Typisk ville enheden indse, at certifikatet er falsk, og enheden ville afbryde forbindelsen med det samme. Enheder med apps, der kører den ældre version af AFNetworking-koden, har dog en logisk fejl, der tillader det falske certifikat at passere uden et sikkerhedstjek.
Grunden til, at kontrollen aldrig udføres af disse apps, er, at AFNetwork version 2.5.1 ikke tilbyder certifikatpinning, som sikrer, at apps bruger et specifikt certifikat til HTTPS-godkendelse og kryptering. Fraværet af dette ekstra sikkerhedstjek efterlader de berørte apps helt åbne for hackere. Nu hvor SourceDNA offentligt har afsløret sårbarheden, vil app-udviklere højst sandsynligt flytte for at rette fejlen, men det kan tage tid.
Sådan beskytter du dig selv
Baseret på rapporten ser det ud til, at hackere skal målrette din enhed ved hjælp af offentlige Wi-Fi-netværk som dem, der findes i caféer og butikker. Ethvert upålideligt Wi-Fi-netværk bør undgås indtil videre. Du kan også slå opdatering af baggrundsapps fra på din iPhone eller iPad, så appsene ikke forsøger at oprette forbindelse til åbne netværk.
Hvis du er bekymret for, at din iPhone eller iPad kan rumme berørte apps, kan du tjek dine apps ved hjælp af SourceDNAs værktøj. Du bør også opdatere alle dine apps, hvis berørte udviklere allerede har udstedt en opdatering for at rette hullet. Du kan opdatere dine apps ved at gå til App Store-appen og gå til fanen opdateringer i nederste højre hjørne.
Vi brugte SourceDNAs værktøj til at søge efter en håndfuld populære apps i App Store for at se, hvilke der er berørt af fejlen. Vi fandt ud af, at langt de fleste apps i de 100 bedste gratis apps i App Store er sikre. Vi tjekkede også en håndfuld af de mest betalte apps og fandt meget få berørte.
Her er en komplet liste over de almindeligt anvendte apps:
- Google – Ingen sårbare apps
- Yahoo – Yahoo Finance version 2.3.2
- Microsoft – OneDrive version 5.1
- Facebook – Ingen sårbare apps
- Snapchat – Ingen sårbare apps
- Instagram – Ingen sårbare apps
- Pandora – Ingen sårbare apps
- Netflix - Ingen sårbare apps
- WhatsApp – Ingen sårbare apps
- Pinterest – Ingen sårbare apps
- Twitter – Ingen sårbare apps
- Spotify – Ingen sårbare apps
- Skype – Ingen sårbare apps
- Amazon – Ingen sårbare apps
- Uber – Uber version 2.64
- Vejrkanalen – Ingen sårbare apps
- Vinstok – Ingen sårbare apps
- SoundCloud – SoundCloud version 3.8.1
- eBay – Ingen sårbare apps
- Waze – Ingen sårbare apps
- Beats musik – Ingen sårbare apps
- Viber – Ingen sårbare apps
- Shazam – Ingen sårbare apps
- Yelp – Ingen sårbare apps
- Fitbit – Ingen sårbare apps
- Tinder - Ingen sårbare apps
- Dropbox – Ingen sårbare apps
- Tumblr – Ingen sårbare apps
- Slap – Ingen sårbare apps
- Efterlys – Ingen sårbare apps
- Minecraft – Ingen sårbare apps
- Ustwo – Ingen sårbare apps
- Dark Sky – Ingen sårbare apps
Som du kan se, er antallet af berørte apps, der er populære, faktisk meget lille, og det antal fortsætter med at skrumpe, efterhånden som virksomheder udfører opdateringer. Mens 1.500 apps lyder som et enormt antal, givet de millioner af apps i App Store, er virkeligheden meget mindre, end du måske tror. Ikke desto mindre er det bedre safe than sorry, så tjek dine apps her.
Redaktørens anbefalinger
- 17 skjulte iOS 17-funktioner, som du har brug for at vide om
- 11 funktioner i iOS 17, som jeg ikke kan vente med at bruge på min iPhone
- iOS 17 er ikke den iPhone-opdatering, jeg håbede på
- Alt, hvad Apple ikke føjede til iOS 17
- Får min iPhone iOS 17? Her er alle understøttede modeller
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
