1500 приложений для iOS уязвимы к уязвимостям безопасности

Мы просмотрели наиболее часто загружаемые приложения в App Store и обнаружили, что очень немногие из самых популярных бесплатных и платных приложений по-прежнему подвержены этой ошибке. В любом случае лучше всего проверить, уязвимы ли ваши приложения, и узнать, как защитить себя.

Вот все, что вам нужно знать.

Вот как хакеры используют эту уязвимость

Согласно охранная фирмаОколо двух миллионов человек установили приложения, которые страдают от уязвимости, наносящей ущерб HTTPS. В число приложений входят Citrix OpenVoice Audio Conferencing, мобильное приложение Alibaba, Movies by Flixster with Rotten Tomatoes, KYBankAgent 3.0 и Revo Restaurant Point of Sale и другие. Исследователи стараются держать полный список приложений в секрете, чтобы не открывать пользователей iOS для большего количества хакеров, которые могли бы использовать уязвимость в гнусных целях. Однако на своем веб-сайте SourceDNA предлагает разработчикам инструмент, позволяющий им проверить безопасность своих приложений.

исследователи обнаружили, что уязвимость возникает из-за проблемы в более старой версии библиотеки с открытым исходным кодом под названием AFNetworking, которая позволяет разработчикам добавлять сетевые возможности в свои приложения. AFNetworking устранила проблему около трех недель назад, и многие разработчики уже обновили свои приложения для iOS, чтобы закрыть дыру, но по крайней мере 1500 приложений для iOS все еще уязвимы. Среди компаний, которые уже устранили уязвимость, — Yahoo, Uber и Microsoft.

Есть ли в ваших приложениях iOS ошибка проверки AFNetworking SSL, раскрывающая информацию ваших пользователей? Узнайте здесь! http://t.co/Y4cwr9vwXb

— SourceDNA (@SourceDNA) 20 апреля 2015 г.

SourceDNA объяснила в своем блоге, что любое приложение, которое все еще использует старую версию Код AFNetworking уязвим для атак «человек посередине», которые позволяют хакерам расшифровать Данные, зашифрованные по протоколу HTTPS. Вот как это работает: хакеры, желающие воспользоваться уязвимостью, просто подключаются к сети Wi-Fi в кофейне, чтобы контролировать целевое устройство. Затем хакеры отправляют устройству поддельный сертификат уровня защищенных сокетов. Обычно устройство понимает, что сертификат является поддельным, и немедленно разрывает соединение. Однако устройства с приложениями, на которых выполняется более старая версия кода AFNetworking, имеют логическую ошибку, которая позволяет поддельному сертификату пройти без проверки безопасности.

Причина, по которой эти приложения никогда не выполняют проверку, заключается в том, что AFNetwork версии 2.5.1 не предлагает закрепление сертификата, которое гарантирует, что приложения используют определенный сертификат для аутентификации HTTPS и шифрование. Отсутствие этой дополнительной проверки безопасности делает затронутые приложения полностью открытыми для хакеров. Теперь, когда SourceDNA публично раскрыла уязвимость, разработчики приложений, скорее всего, займутся ее исправлением, но это может занять время.

Вот как защитить себя

Судя по отчету, похоже, что хакерам приходится атаковать ваше устройство, используя общедоступные сети Wi-Fi, подобные тем, которые можно найти в кафе и магазинах. На данный момент следует избегать любых ненадежных сетей Wi-Fi. Вы также можете отключить фоновое обновление приложений на своем iPhone или iPad, чтобы приложения не пытались подключиться к открытым сетям.

Если вы обеспокоены тем, что на вашем iPhone или iPad могут находиться уязвимые приложения, вы можете проверьте свои приложения с помощью инструмента SourceDNA. Вам также следует обновить все свои приложения на случай, если затронутые разработчики уже выпустили обновление, исправляющее дыру. Вы можете обновить свои приложения, зайдя в приложение App Store и перейдя на вкладку обновлений в правом нижнем углу.

Мы использовали инструмент SourceDNA для поиска нескольких популярных приложений в App Store, чтобы увидеть, какие из них затронуты этой ошибкой. Мы обнаружили, что подавляющее большинство приложений из топ-100 бесплатных приложений в App Store безопасны. Мы также проверили несколько самых популярных платных приложений и обнаружили, что лишь немногие из них затронуты.

Как видите, количество популярных приложений, затронутых этой проблемой, на самом деле очень невелико, и это число продолжает сокращаться по мере того, как компании обновляют их. Хотя 1500 приложений кажутся огромным числом, учитывая миллионы приложений в App Store, на самом деле это гораздо меньше, чем вы думаете. Тем не менее, лучше перестраховаться, чем потом сожалеть, поэтому проверьте свои приложения здесь.

Рекомендации редакции

• 17 скрытых функций iOS 17, о которых вам нужно знать
• 11 функций iOS 17, которые мне не терпится использовать на своем iPhone
• iOS 17 — это не то обновление iPhone, на которое я надеялся
• Все, что Apple не добавила в iOS 17
• Получит ли мой iPhone iOS 17? Вот все поддерживаемые модели

Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, содержательным редакционным статьям и уникальным кратким обзорам.