1.500 εφαρμογές iOS είναι ευάλωτες σε ελάττωμα ασφαλείας

Αναζητήσαμε τις εφαρμογές που λαμβάνετε πιο συχνά στο App Store και διαπιστώσαμε ότι πολύ λίγες από τις πιο δημοφιλείς δωρεάν και επί πληρωμή εφαρμογές εξακολουθούν να επηρεάζονται από το σφάλμα. Ανεξάρτητα από αυτό, είναι καλύτερο να ελέγξετε εάν οι εφαρμογές σας είναι ευάλωτες και να μάθετε πώς να προστατεύεστε.

Εδώ είναι όλα όσα πρέπει να γνωρίζετε.

Δείτε πώς οι χάκερ εκμεταλλεύονται το ελάττωμα

Σύμφωνα με την εταιρεία ασφαλείας, περίπου δύο εκατομμύρια άνθρωποι έχουν εγκαταστήσει εφαρμογές που υποφέρουν από την ευπάθεια που καταστρέφει το HTTPS. Οι εφαρμογές περιλαμβάνουν Citrix OpenVoice Audio Conferencing, την εφαρμογή για κινητά της Alibaba, Movies by Flixster with Rotten Tomatoes, KYBankAgent 3.0 και Revo Restaurant Point of Sale, μεταξύ άλλων. Οι ερευνητές προσπαθούν να διατηρήσουν την πλήρη λίστα των εφαρμογών υπό κάλυψη, ώστε να αποφευχθεί το άνοιγμα των χρηστών iOS σε περισσότερους χάκερ που θα χρησιμοποιούσαν την ευπάθεια για κακόβουλους σκοπούς. Ωστόσο, στον ιστότοπό του, το SourceDNA προσφέρει ένα εργαλείο στους προγραμματιστές, ώστε να μπορούν να ελέγχουν εάν οι εφαρμογές τους είναι ασφαλείς.

ο ερευνητές διαπίστωσε ότι η ευπάθεια προέρχεται από ένα πρόβλημα σε μια παλαιότερη έκδοση μιας βιβλιοθήκης κώδικα ανοιχτού κώδικα που ονομάζεται AFNetworking, η οποία επιτρέπει στους προγραμματιστές να προσθέτουν δυνατότητες δικτύωσης στις εφαρμογές τους. Το AFNetworking διόρθωσε το πρόβλημα πριν από περίπου τρεις εβδομάδες και πολλοί προγραμματιστές έχουν ήδη ενημερώσει τις εφαρμογές τους για iOS για να κλείσουν την τρύπα, αλλά τουλάχιστον 1.500 εφαρμογές iOS εξακολουθούν να είναι ευάλωτες. Μεταξύ των εταιρειών που έχουν ήδη διορθώσει το ελάττωμα είναι η Yahoo, η Uber και η Microsoft.

Έχουν οι εφαρμογές σας iOS το ελάττωμα επικύρωσης AFNetworking SSL, εκθέτοντας τις πληροφορίες των χρηστών σας; Μάθετε εδώ! http://t.co/Y4cwr9vwXb

— SourceDNA (@SourceDNA) 20 Απριλίου 2015

Το SourceDNA εξήγησε σε μια ανάρτηση ιστολογίου ότι οποιαδήποτε εφαρμογή εξακολουθεί να χρησιμοποιεί την παλαιότερη έκδοση του Ο κώδικας AFNetworking είναι ευάλωτος σε επιθέσεις man-in-the-middle που επιτρέπουν στους χάκερ να αποκρυπτογραφούν Κρυπτογραφημένα δεδομένα HTTPS. Να πώς λειτουργεί: Οι χάκερ που θέλουν να εκμεταλλευτούν το ελάττωμα απλώς μεταπηδούν σε ένα δίκτυο Wi-Fi καφετέριας για να παρακολουθήσουν τη στοχευμένη συσκευή. Στη συνέχεια, οι χάκερ στέλνουν στη συσκευή ένα δόλιο πιστοποιητικό επιπέδου ασφαλών υποδοχών. Συνήθως, η συσκευή αντιλαμβανόταν ότι το πιστοποιητικό είναι ψεύτικο και η συσκευή θα διέκοπτε τη σύνδεση αμέσως. Ωστόσο, οι συσκευές με εφαρμογές που εκτελούν την παλαιότερη έκδοση του κώδικα AFNetworking έχουν ένα λογικό σφάλμα που επιτρέπει στο ψεύτικο πιστοποιητικό να περάσει χωρίς έλεγχο ασφαλείας.

Ο λόγος για τον οποίο ο έλεγχος δεν πραγματοποιείται ποτέ από αυτές τις εφαρμογές είναι ότι η έκδοση AFNetwork 2.5.1 δεν προσφέρει καρφίτσωμα πιστοποιητικού, το οποίο διασφαλίζει ότι οι εφαρμογές χρησιμοποιούν ένα συγκεκριμένο πιστοποιητικό για έλεγχο ταυτότητας HTTPS και κρυπτογράφηση. Η απουσία αυτού του επιπλέον ελέγχου ασφαλείας αφήνει τις επηρεαζόμενες εφαρμογές εντελώς ανοιχτές στους χάκερ. Τώρα που το SourceDNA αποκάλυψε δημόσια την ευπάθεια, οι προγραμματιστές εφαρμογών πιθανότατα θα κινηθούν για να διορθώσουν το ελάττωμα, αλλά μπορεί να πάρει χρόνο.

Δείτε πώς να προστατεύσετε τον εαυτό σας

Με βάση την αναφορά, φαίνεται ότι οι χάκερ πρέπει να στοχεύσουν τη συσκευή σας χρησιμοποιώντας δημόσια δίκτυα Wi-Fi, όπως αυτά που βρίσκονται σε καφετέριες και καταστήματα. Οποιοδήποτε μη αξιόπιστο δίκτυο Wi-Fi θα πρέπει να αποφεύγεται προς το παρόν. Μπορείτε επίσης να απενεργοποιήσετε την ανανέωση εφαρμογών στο παρασκήνιο στο iPhone ή το iPad σας, ώστε οι εφαρμογές να μην επιχειρούν να συνδεθούν σε ανοιχτά δίκτυα.

Εάν ανησυχείτε ότι το iPhone ή το iPad σας ενδέχεται να φιλοξενούν εφαρμογές που επηρεάζονται, μπορείτε ελέγξτε τις εφαρμογές σας χρησιμοποιώντας το εργαλείο του SourceDNA. Θα πρέπει επίσης να ενημερώσετε όλες τις εφαρμογές σας σε περίπτωση που οι επηρεαζόμενοι προγραμματιστές έχουν ήδη εκδώσει μια ενημέρωση για την επιδιόρθωση της τρύπας. Μπορείτε να ενημερώσετε τις εφαρμογές σας μεταβαίνοντας στην εφαρμογή App Store και μεταβαίνοντας στην καρτέλα ενημερώσεις στην κάτω δεξιά γωνία.

Χρησιμοποιήσαμε το εργαλείο του SourceDNA για να αναζητήσουμε μερικές δημοφιλείς εφαρμογές στο App Store για να δούμε ποιες επηρεάζονται από το σφάλμα. Διαπιστώσαμε ότι η συντριπτική πλειοψηφία των εφαρμογών στις 100 κορυφαίες δωρεάν εφαρμογές στο App Store είναι ασφαλείς. Ελέγξαμε επίσης μια χούφτα κορυφαίες εφαρμογές επί πληρωμή και βρήκαμε πολύ λίγες που επηρεάζονται.

Όπως μπορείτε να δείτε, ο αριθμός των επηρεαζόμενων εφαρμογών που είναι δημοφιλείς είναι στην πραγματικότητα πολύ μικρός και αυτός ο αριθμός συνεχίζει να συρρικνώνεται καθώς οι εταιρείες πραγματοποιούν ενημέρωση. Ενώ 1.500 εφαρμογές ακούγονται σαν ένας τεράστιος αριθμός, δεδομένων των εκατομμυρίων εφαρμογών στο App Store, η πραγματικότητα είναι πολύ μικρότερη από ό, τι φαντάζεστε. Ωστόσο, είναι καλύτερα ασφαλές παρά συγγνώμη, έτσι δείτε τις εφαρμογές σας εδώ.

Συστάσεις των συντακτών

• 17 κρυφές λειτουργίες του iOS 17 που πρέπει να γνωρίζετε
• 11 λειτουργίες στο iOS 17 που ανυπομονώ να χρησιμοποιήσω στο iPhone μου
• Το iOS 17 δεν είναι η ενημέρωση του iPhone που ήλπιζα
• Όλα όσα δεν πρόσθεσε η Apple στο iOS 17
• Θα αποκτήσει το iPhone μου iOS 17; Εδώ είναι κάθε υποστηριζόμενο μοντέλο

Αναβαθμίστε τον τρόπο ζωής σαςΤο Digital Trends βοηθά τους αναγνώστες να παρακολουθούν τον γρήγορο κόσμο της τεχνολογίας με όλα τα τελευταία νέα, διασκεδαστικές κριτικές προϊόντων, διορατικά editorial και μοναδικές κρυφές ματιές.