1500 iOS programų yra pažeidžiamos dėl saugos trūkumo

Peržiūrėjome dažniausiai „App Store“ atsisiunčiamas programas ir nustatėme, kad labai nedaugelis populiariausių nemokamų ir mokamų programų vis dar yra paveiktos klaidos. Nepaisant to, geriausia patikrinti, ar jūsų programos yra pažeidžiamos, ir sužinoti, kaip apsisaugoti.

Štai viskas, ką reikia žinoti.

Štai kaip įsilaužėliai išnaudoja trūkumą

Pagal apsaugos firma, maždaug du milijonai žmonių įdiegė programas, kurios kenčia nuo HTTPS pažeidžiamumo. Programos apima „Citrix OpenVoice Audio Conferencing“, „Alibaba“ programą mobiliesiems, „Flixster“ filmus su „Rotten Tomatoes“, „KYBankAgent 3.0“ ir „Revo Restaurant Point of Sale“ ir kt. Tyrėjai stengiasi, kad visas programų sąrašas būtų paslėptas, kad „iOS“ naudotojai nepatektų į daugiau įsilaužėlių, kurie pasinaudotų pažeidžiamumu nešvankiais tikslais. Tačiau savo svetainėje SourceDNA siūlo įrankį kūrėjams, kad jie galėtų patikrinti, ar jų programos yra saugios.

The tyrinėtojai nustatė, kad pažeidžiamumas atsirado dėl problemos senesnėje atvirojo kodo bibliotekos, vadinamos AFNetworking, versijoje, kuri leidžia kūrėjams prie savo programų pridėti tinklo galimybių. „AFNetworking“ problemą išsprendė maždaug prieš tris savaites, o daugelis kūrėjų jau atnaujino savo „iOS“ programas, kad uždarytų spragą, tačiau mažiausiai 1500 „iOS“ programų vis dar yra pažeidžiamos. Tarp įmonių, kurios jau ištaisė trūkumą, yra „Yahoo“, „Uber“ ir „Microsoft“.

Ar jūsų „iOS“ programose yra AFNetworking SSL patvirtinimo klaida, dėl kurios atskleidžiama jūsų naudotojų informacija? Sužinokite čia! http://t.co/Y4cwr9vwXb

– ŠaltinisDNR (@SourceDNA) 2015 m. balandžio 20 d

SourceDNA tinklaraščio įraše paaiškino, kad bet kuri programa, kuri vis dar naudoja senesnę versiją AFNetworking kodas yra pažeidžiamas tarpininkų atakų, kurios leidžia įsilaužėliams iššifruoti HTTPS užšifruoti duomenys. Štai kaip tai veikia: įsilaužėliai, norintys išnaudoti trūkumą, tiesiog peršoka į kavinės „Wi-Fi“ tinklą, kad galėtų stebėti tikslinį įrenginį. Tada įsilaužėliai siunčia įrenginiui apgaulingą saugaus lizdo lygmens sertifikatą. Paprastai įrenginys suprastų, kad sertifikatas yra netikras, ir įrenginys nedelsiant nutraukia ryšį. Tačiau įrenginiuose su programėlėmis, kuriose veikia senesnė AFNetworking kodo versija, yra loginė klaida, leidžianti netikrą sertifikatą išlaikyti neatlikus saugumo patikros.

Priežastis, kodėl šios programos niekada neatlieka patikrinimo, yra ta, kad AFNetwork 2.5.1 versija nesiūlo sertifikato prisegimas, kuris užtikrina, kad programos naudotų konkretų sertifikatą HTTPS autentifikavimui ir šifravimas. Jei nėra šios papildomos saugos patikros, paveiktos programos yra visiškai atviros įsilaužėliams. Dabar, kai SourceDNA viešai atskleidė pažeidžiamumą, programų kūrėjai greičiausiai imsis klaidos ištaisymo, tačiau tai gali užtrukti.

Štai kaip apsisaugoti

Remiantis ataskaita, atrodo, kad įsilaužėliai turi nukreipti į jūsų įrenginį naudodamiesi viešaisiais „Wi-Fi“ tinklais, tokiais kaip kavinėse ir parduotuvėse. Šiuo metu reikėtų vengti bet kokio nepatikimo „Wi-Fi“ tinklo. Taip pat galite išjungti fono programos atnaujinimą savo iPhone ar iPad, kad programos nebandytų prisijungti prie atvirų tinklų.

Jei nerimaujate, kad jūsų „iPhone“ ar „iPad“ gali turėti paveiktų programų, galite patikrinkite savo programas naudojant SourceDNA įrankį. Taip pat turėtumėte atnaujinti visas savo programas, jei paveikti kūrėjai jau išleido atnaujinimą, kad pataisytų skylę. Savo programas galite atnaujinti apsilankę „App Store“ programoje ir apatiniame dešiniajame kampe atidarę skirtuką „Atnaujinimai“.

Naudojome „SourceDNA“ įrankį, norėdami ieškoti kelių populiarių programų „App Store“, kad sužinotume, kurias iš jų paveikė klaida. Pastebėjome, kad dauguma „App Store“ 100 geriausių nemokamų programų yra saugios. Taip pat patikrinome keletą populiariausių mokamų programų ir nustatėme, kad jų paveiktos labai nedaug.

Kaip matote, paveiktų populiarių programų skaičius iš tikrųjų yra labai mažas, ir šis skaičius toliau mažėja, kai įmonės atnaujina. Nors 1500 programų skamba kaip didžiulis skaičius, atsižvelgiant į milijonus programų parduotuvėje „App Store“, realybė yra daug mažesnė, nei jūs manote. Nepaisant to, geriau saugotis nei gailėtis, taigi patikrinkite savo programas čia.

Redaktorių rekomendacijos

• 17 paslėptų iOS 17 funkcijų, apie kurias turite žinoti
• 11 iOS 17 funkcijų, kurias nekantrauju panaudoti savo iPhone
• „iOS 17“ nėra tas „iPhone“ naujinys, kurio tikėjausi
• Viskas, ko „Apple“ nepridėjo prie „iOS 17“.
• Ar mano „iPhone“ gaus „iOS 17“? Čia yra kiekvienas palaikomas modelis

Atnaujinkite savo gyvenimo būdąSkaitmeninės tendencijos padeda skaitytojams stebėti sparčiai besivystantį technologijų pasaulį – pateikiamos visos naujausios naujienos, smagios produktų apžvalgos, įžvalgūs vedamieji leidiniai ir unikalūs žvilgsniai.