1500 aplikacji na iOS ma lukę w zabezpieczeniach

Przeszukaliśmy najczęściej pobierane aplikacje w App Store i odkryliśmy, że błąd nadal dotyczy bardzo niewielu najpopularniejszych bezpłatnych i płatnych aplikacji. Niezależnie od tego najlepiej sprawdzić, czy Twoje aplikacje nie są podatne na ataki i dowiedzieć się, jak się chronić.

Oto wszystko, co musisz wiedzieć.

Oto, jak hakerzy wykorzystują tę lukę

Według firma ochroniarskaokoło dwa miliony osób zainstalowało aplikacje zawierające lukę w zabezpieczeniach HTTPS. Aplikacje obejmują między innymi Citrix OpenVoice Audio Conferencing, aplikację mobilną Alibaba, Movies by Flixster with Rotten Tomatoes, KYBankAgent 3.0 i Revo Restaurant Point of Sale. Badacze starają się zachować pełną listę aplikacji w tajemnicy, aby uniknąć narażenia użytkowników iOS na większą liczbę hakerów, którzy wykorzystaliby tę lukę w niecnych celach. Jednak na swojej stronie internetowej SourceDNA oferuje programistom narzędzie, dzięki któremu mogą sprawdzić, czy ich aplikacje są bezpieczne.

The badacze odkryli, że luka wynika z problemu w starszej wersji biblioteki kodu open source o nazwie AFNetworking, która umożliwia programistom dodawanie funkcji sieciowych do swoich aplikacji. AFNetworking rozwiązał problem około trzy tygodnie temu, a wielu programistów zaktualizowało już swoje aplikacje na iOS, aby załatać lukę, ale co najmniej 1500 aplikacji na iOS jest nadal podatnych na ataki. Wśród firm, które już naprawiły tę usterkę, są Yahoo, Uber i Microsoft.

Czy Twoje aplikacje na iOS mają wadę sprawdzania poprawności AFNetworking SSL, która ujawnia informacje o użytkownikach? Dowiedz się tutaj! http://t.co/Y4cwr9vwXb

— ŹródłoDNA (@ŹródłoDNA) 20 kwietnia 2015 r

SourceDNA wyjaśniło w poście na blogu, że każda aplikacja, która nadal korzysta ze starszej wersji Kod AFNetworking jest podatny na ataki typu man-in-the-middle, które umożliwiają hakerom odszyfrowanie Dane szyfrowane HTTPS. Oto jak to działa: hakerzy, którzy chcą wykorzystać tę lukę, po prostu wskakują do sieci Wi-Fi kawiarni, aby monitorować docelowe urządzenie. Następnie hakerzy wysyłają do urządzenia fałszywy certyfikat warstwy bezpiecznych gniazd. Zazwyczaj urządzenie zorientuje się, że certyfikat jest fałszywy i natychmiast zerwie połączenie. Jednak na urządzeniach z aplikacjami obsługującymi starszą wersję kodu AFNetworking występuje błąd logiczny, który umożliwia przejście fałszywego certyfikatu bez kontroli bezpieczeństwa.

Powodem, dla którego te aplikacje nigdy nie przeprowadzają kontroli, jest to, że wersja AFNetwork 2.5.1 nie oferuje przypinanie certyfikatu, które zapewnia, że ​​aplikacje używają określonego certyfikatu do uwierzytelniania HTTPS i szyfrowanie. Brak tej dodatkowej kontroli bezpieczeństwa sprawia, że ​​dotknięte aplikacje są całkowicie otwarte dla hakerów. Teraz, gdy SourceDNA publicznie ujawniło lukę, twórcy aplikacji najprawdopodobniej zaczną naprawiać lukę, ale może to zająć trochę czasu.

Oto jak się chronić

Z raportu wynika, że ​​hakerzy muszą zaatakować Twoje urządzenie, korzystając z publicznych sieci Wi-Fi, takich jak te, które można znaleźć w kawiarniach i sklepach. Na razie należy unikać wszelkich niezaufanych sieci Wi-Fi. Możesz także wyłączyć odświeżanie aplikacji w tle na iPhonie lub iPadzie, aby aplikacje nie próbowały łączyć się z otwartymi sieciami.

Jeśli obawiasz się, że na Twoim iPhonie lub iPadzie mogą znajdować się aplikacje, których dotyczy problem, możesz to zrobić sprawdź swoje aplikacje za pomocą narzędzia SourceDNA. Powinieneś także zaktualizować wszystkie swoje aplikacje na wypadek, gdyby programiści, których dotyczy problem, wydali już aktualizację łatącą lukę. Możesz zaktualizować swoje aplikacje, przechodząc do aplikacji App Store i przechodząc do karty aktualizacji w prawym dolnym rogu.

Wykorzystaliśmy narzędzie SourceDNA do wyszukania kilku popularnych aplikacji w App Store i sprawdzenia, których dotyczy błąd. Odkryliśmy, że zdecydowana większość aplikacji ze 100 najpopularniejszych bezpłatnych aplikacji w App Store jest bezpieczna. Sprawdziliśmy także kilka najlepiej płatnych aplikacji i stwierdziliśmy, że dotyczy to bardzo niewielu.

Jak widać, liczba popularnych aplikacji, których dotyczy problem, jest w rzeczywistości bardzo mała i liczba ta stale maleje w miarę przeprowadzania przez firmy aktualizacji. Chociaż 1500 aplikacji wydaje się ogromną liczbą, biorąc pod uwagę miliony aplikacji w App Store, rzeczywistość jest znacznie mniejsza, niż mogłoby się wydawać. Niemniej jednak lepiej dmuchać na zimne, więc tak sprawdź tutaj swoje aplikacje.

Zalecenia redaktorów

• 17 ukrytych funkcji iOS 17, o których musisz wiedzieć
• 11 funkcji w iOS 17, których nie mogę się doczekać, aby użyć ich na moim iPhonie
• iOS 17 nie jest aktualizacją iPhone'a, na którą liczyłem
• Wszystko, czego Apple nie dodał do iOS 17
• Czy mój iPhone otrzyma iOS 17? Oto każdy obsługiwany model

Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.