1500 iOS-alkalmazás ki van téve biztonsági hibának

A legjobb Phablets Apple iPhone 6 Plus
Az Apple operációs rendszereit általában kivételesen biztonságosnak és biztonságosnak tartják, de még az Apple OS X és iOS sem sebezhetetlen a hackerek támadásaival és súlyos hibákkal szemben. Nemrég egy biztonsági cég ForrásDNA Felfedte, hogy egy HTTPS-bénító hiba körülbelül 1500 iOS-alkalmazásban használható ki. A sebezhetőséget felfedező hackerek az érintett alkalmazásokon keresztül hozzáférhetnek érzékeny információkhoz, például hitelkártyaszámokhoz és titkosított jelszavakhoz.

Megállapítottuk, hogy az App Store 100 legjobb ingyenes alkalmazásában szereplő alkalmazások túlnyomó többsége biztonságos.

Ajánlott videók

Átkutattuk az App Store leggyakrabban letöltött alkalmazásait, és azt találtuk, hogy a legnépszerűbb ingyenes és fizetős alkalmazások közül még mindig nagyon keveset érint a hiba. Ettől függetlenül a legjobb, ha megnézed, hogy alkalmazásaid sebezhetőek-e, és megtanulod, hogyan védheted meg magad.

Itt van minden, amit tudnia kell.

Íme, hogyan használják ki a hackerek a hibát

Szerint a biztonsági cég, körülbelül kétmillió ember telepített olyan alkalmazásokat, amelyek a HTTPS-t megbénító sebezhetőségtől szenvednek. Az alkalmazások közé tartozik többek között a Citrix OpenVoice Audio Conferencing, az Alibaba mobilalkalmazása, a Movies by Flixster with Rotten Tomatoes, a KYBankAgent 3.0 és a Revo Restaurant Point of Sale. A kutatók igyekeznek titokban tartani az alkalmazások teljes listáját, hogy elkerüljék, hogy az iOS-felhasználók több hacker előtt nyíljanak meg, akik aljas célokra használnák fel a sérülékenységet. Weboldalán azonban a SourceDNA egy eszközt kínál a fejlesztőknek, így ellenőrizhetik, hogy alkalmazásaik biztonságosak-e.

A kutatók megállapította, hogy a sérülékenység az AFNetworking nevű nyílt forráskódú könyvtár régebbi verziójában lévő problémából származik, amely lehetővé teszi a fejlesztők számára, hogy hálózati képességeket adhassanak alkalmazásaikhoz. Az AFNetworking körülbelül három hete kijavította a problémát, és sok fejlesztő már frissítette iOS-alkalmazásait, hogy bezárja a lyukat, de legalább 1500 iOS-alkalmazás továbbra is sebezhető. A hibát már javító cégek között van a Yahoo, az Uber és a Microsoft.

Az iOS-alkalmazásaiban van az AFNetworking SSL érvényesítési hibája, amely felfedi a felhasználók adatait? Tudja meg itt! http://t.co/Y4cwr9vwXb

— SourceDNA (@SourceDNA) 2015. április 20

A SourceDNA egy blogbejegyzésben kifejtette, hogy minden olyan alkalmazás, amely még mindig a régebbi verziót használja Az AFNetworking kódja sebezhető a köztes támadásokkal szemben, amelyek lehetővé teszik a hackerek számára a titkosítás visszafejtését HTTPS-titkosított adatok. Így működik: A hibát kihasználni kívánó hackerek egyszerűen felugranak egy kávézó Wi-Fi-hálózatára, hogy figyeljék a megcélzott eszközt. A hackerek ezután hamis biztonsági sockets réteg tanúsítványt küldenek az eszköznek. Általában az eszköz felismeri, hogy a tanúsítvány hamis, és az eszköz azonnal megszakítja a kapcsolatot. Az AFNetworking kód régebbi verzióját futtató alkalmazásokkal rendelkező eszközökön azonban van egy logikai hiba, amely lehetővé teszi a hamis tanúsítvány áthaladását biztonsági ellenőrzés nélkül.

Az ok, amiért ezek az alkalmazások soha nem végzik el az ellenőrzést, az az, hogy az AFNetwork 2.5.1-es verziója nem kínál tanúsítvány rögzítése, amely biztosítja, hogy az alkalmazások egy adott tanúsítványt használjanak a HTTPS-hitelesítéshez és Titkosítás. Ennek az extra biztonsági ellenőrzésnek a hiánya teljesen nyitva hagyja az érintett alkalmazásokat a hackerek előtt. Most, hogy a SourceDNA nyilvánosan felfedte a sebezhetőséget, az alkalmazásfejlesztők valószínűleg lépéseket tesznek a hiba kijavítása érdekében, de ez időbe telhet.

Így védheti meg magát

Alkalmazásfrissítések iOS A jelentés alapján úgy tűnik, hogy a hackereknek nyilvános Wi-Fi hálózatokon kell megcélozniuk az eszközt, mint amilyen a kávézókban és üzletekben található. Egyelőre kerülni kell a nem megbízható Wi-Fi hálózatokat. Kikapcsolhatja a háttérben futó alkalmazásfrissítést iPhone-on vagy iPaden is, így az alkalmazások nem próbálnak csatlakozni nyílt hálózatokhoz.

Ha attól tart, hogy iPhone-ján vagy iPadjén lehetnek érintett alkalmazások, megteheti ellenőrizze az alkalmazásait a SourceDNA eszközével. Ezenkívül frissítenie kell az összes alkalmazást, ha az érintett fejlesztők már kiadtak egy frissítést a lyuk befoltozására. Alkalmazásait úgy frissítheti, hogy nyissa meg az App Store alkalmazást, és lépjen a jobb alsó sarokban található Frissítések fülre.

A SourceDNA eszközét használva kerestünk néhány népszerű alkalmazást az App Store-ban, hogy megtudjuk, melyiket érinti a hiba. Megállapítottuk, hogy az App Store 100 legjobb ingyenes alkalmazásában szereplő alkalmazások túlnyomó többsége biztonságos. Megvizsgáltunk néhány legnépszerűbb fizetős alkalmazást is, és nagyon kevés érintettet találtunk.

Íme a gyakran használt alkalmazások teljes listája:

  • Google - Nincsenek sebezhető alkalmazások
  • Yahoo – Yahoo Finance 2.3.2 verzió
  • Microsoft – OneDrive 5.1-es verzió
  • Facebook - Nincsenek sebezhető alkalmazások
  • Snapchat – Nincsenek sebezhető alkalmazások
  • Instagram – Nincsenek sebezhető alkalmazások
  • Pandora – Nincsenek sebezhető alkalmazások
  • Netflix – Nincsenek sebezhető alkalmazások
  • WhatsApp – Nincsenek sebezhető alkalmazások
  • Pinterest – Nincsenek sebezhető alkalmazások
  • Twitter – Nincsenek sebezhető alkalmazások
  • Spotify – Nincsenek sebezhető alkalmazások
  • Skype - Nincsenek sebezhető alkalmazások
  • Amazon – Nincsenek sebezhető alkalmazások
  • Uber – Uber 2.64-es verzió
  • Az időjárási csatorna – Nincsenek sebezhető alkalmazások
  • szőlő – Nincsenek sebezhető alkalmazások
  • SoundCloud – SoundCloud 3.8.1 verzió
  • eBay – Nincsenek sebezhető alkalmazások
  • Waze – Nincsenek sebezhető alkalmazások
  • Beats Music – Nincsenek sebezhető alkalmazások
  • Viber – Nincsenek sebezhető alkalmazások
  • Shazam – Nincsenek sebezhető alkalmazások
  • Nyüszít - Nincsenek sebezhető alkalmazások
  • Fitbit – Nincsenek sebezhető alkalmazások
  • Tapló - Nincsenek sebezhető alkalmazások
  • Dropbox – Nincsenek sebezhető alkalmazások
  • Tumblr – Nincsenek sebezhető alkalmazások
  • Laza – Nincsenek sebezhető alkalmazások
  • Utófény – Nincsenek sebezhető alkalmazások
  • Minecraft – Nincsenek sebezhető alkalmazások
  • Ustwo – Nincsenek sebezhető alkalmazások
  • Sötét ég - Nincsenek sebezhető alkalmazások

Amint láthatja, az érintett alkalmazások száma, amelyek népszerűek, valójában nagyon kicsi, és ez a szám folyamatosan csökken, ahogy a vállalatok frissítéseket hajtanak végre. Bár az 1500 alkalmazás óriási számnak tűnik, az App Store-ban található alkalmazások millióinak ismeretében a valóság sokkal kisebb, mint gondolnád. Ennek ellenére jobb félni, mint megijedni, szóval nézd meg itt az alkalmazásaidat.

Szerkesztői ajánlások

  • 17 rejtett iOS 17 funkció, amelyekről tudnia kell
  • 11 olyan funkció az iOS 17-ben, amelyeket alig várok, hogy használhassam az iPhone-omon
  • Az iOS 17 nem az az iPhone frissítés, amelyre számítottam
  • Minden, amit az Apple nem adott hozzá az iOS 17-hez
  • Az iPhone-om megkapja az iOS 17-et? Itt található minden támogatott modell

Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.