1500 iOS-i rakendust on turvavea suhtes haavatavad

Otsisime App Store'is kõige sagedamini allalaaditud rakendusi ja leidsime, et viga mõjutab endiselt väga väheseid populaarsemaid tasuta ja tasulisi rakendusi. Sellest hoolimata on kõige parem kontrollida, kas teie rakendused on haavatavad, ja õppida end kaitsma.

Siin on kõik, mida peate teadma.

Siit saate teada, kuidas häkkerid seda viga ära kasutavad

Vastavalt turvafirma, on umbes kaks miljonit inimest installinud rakendusi, mis kannatavad HTTPS-i kahjustava haavatavuse all. Rakenduste hulka kuuluvad muu hulgas Citrix OpenVoice Audio Conferencing, Alibaba mobiilirakendus, Flixsteri filmid koos Rotten Tomatoesiga, KYBankAgent 3.0 ja Revo Restaurant Point of Sale. Teadlased püüavad hoida täielikku rakenduste loendit vaka all, et vältida iOS-i kasutajate avamist rohkematele häkkeritele, kes kasutaksid haavatavust pahatahtlikel eesmärkidel. Siiski pakub SourceDNA oma veebisaidil arendajatele tööriista, et nad saaksid kontrollida, kas nende rakendused on ohutud.

The uurijad leidis, et haavatavus tuleneb probleemist avatud lähtekoodiga teegi vanemas versioonis nimega AFNetworking, mis võimaldab arendajatel lisada oma rakendustele võrguvõimalusi. AFNetworking lahendas probleemi umbes kolm nädalat tagasi ja paljud arendajad on juba oma iOS-i rakendusi selle augu sulgemiseks värskendanud, kuid vähemalt 1500 iOS-i rakendust on endiselt haavatavad. Ettevõtted, kes on vea juba parandanud, on Yahoo, Uber ja Microsoft.

Kas teie iOS-i rakendustel on AFNetworkingi SSL-i valideerimise viga, mis paljastab teie kasutajate teabe? Uuri siit! http://t.co/Y4cwr9vwXb

— SourceDNA (@SourceDNA) 20. aprill 2015

SourceDNA selgitas ajaveebipostituses, et kõik rakendused, mis kasutavad endiselt selle vanemat versiooni AFNetworkingi kood on haavatav rünnakute suhtes, mis võimaldavad häkkeritel dekrüpteerida HTTPS-krüptitud andmed. See toimib järgmiselt: häkkerid, kes soovivad viga ära kasutada, hüppavad sihitud seadme jälgimiseks lihtsalt kohviku WiFi-võrku. Häkkerid saadavad seejärel seadmele võltsitud turvapesade kihi sertifikaadi. Tavaliselt mõistab seade, et sertifikaat on võlts, ja seade katkestab ühenduse kohe. Seadmetes, mille rakendused käitavad AFNetworkingi koodi vanemat versiooni, on aga loogikaviga, mis võimaldab võltssertifikaadil läbida ilma turvakontrollita.

Põhjus, miks need rakendused kunagi kontrolli ei teosta, on see, et AFNetworki versioon 2.5.1 ei paku sertifikaadi kinnitamine, mis tagab, et rakendused kasutavad HTTPS-i autentimiseks ja krüpteerimine. Selle täiendava turvakontrolli puudumine jätab mõjutatud rakendused häkkeritele täiesti avatuks. Nüüd, kui SourceDNA on haavatavuse avalikult avaldanud, hakkavad rakenduste arendajad tõenäoliselt vea parandama, kuid see võib võtta aega.

Siin on, kuidas ennast kaitsta

Aruande põhjal näib, et häkkerid peavad teie seadet sihtima, kasutades avalikke WiFi-võrke, nagu kohvikutes ja kauplustes leiduvad võrgud. Igasugust ebausaldusväärset WiFi-võrku tuleks esialgu vältida. Samuti saate iPhone'is või iPadis taustal rakenduste värskendamise välja lülitada, et rakendused ei üritaks avatud võrkudega ühendust luua.

Kui olete mures, et teie iPhone'is või iPadis võib olla mõjutatud rakendusi, saate seda teha kontrollige oma rakendusi kasutades SourceDNA tööriista. Samuti peaksite värskendama kõiki oma rakendusi juhuks, kui mõjutatud arendajad on augu parandamiseks juba värskenduse välja andnud. Saate oma rakendusi värskendada, kui avate App Store'i rakenduse ja minge paremas alanurgas värskenduste vahekaardile.

Kasutasime SourceDNA tööriista, et otsida App Store'ist käputäis populaarseid rakendusi, et näha, milliseid viga mõjutab. Leidsime, et enamik App Store'i 100 parima tasuta rakenduse hulgas olevatest rakendustest on ohutud. Kontrollisime ka käputäie populaarseimaid tasulisi rakendusi ja leidsime, et mõjutatud rakendusi on väga vähe.

Nagu näete, on mõjutatud rakenduste arv, mis on populaarsed, tegelikult väga väike ja see arv väheneb jätkuvalt, kuna ettevõtted värskendavad. Kuigi 1500 rakendust kõlab tohutult palju, on App Store'i miljoneid rakendusi arvestades tegelikkus palju väiksem, kui arvate. Sellegipoolest on parem karta kui kahetseda, nii et vaadake oma rakendusi siin.

Toimetajate soovitused

• 17 iOS 17 peidetud funktsiooni, millest peate teadma
• 11 funktsiooni iOS 17-s, mida ma ei jõua ära oodata, et saaksin oma iPhone'is kasutada
• iOS 17 ei ole iPhone'i värskendus, mida ma lootsin
• Kõik, mida Apple iOS 17-le ei lisanud
• Kas minu iPhone saab iOS 17? Siin on kõik toetatud mudelid

Uuenda oma elustiiliDigitaalsed suundumused aitavad lugejatel hoida silma peal kiirel tehnikamaailmal kõigi viimaste uudiste, lõbusate tooteülevaadete, sisukate juhtkirjade ja ainulaadsete lühiülevaadetega.