1500 aplikacij za iOS je ranljivih za varnostno napako

Iskali smo po najpogosteje prenesenih aplikacijah v trgovini App Store in ugotovili, da je napaka še vedno prizadela zelo malo najbolj priljubljenih brezplačnih in plačljivih aplikacij. Ne glede na to je najbolje, da preverite, ali so vaše aplikacije ranljive, in se naučite, kako se zaščititi.

Tukaj je vse, kar morate vedeti.

Evo, kako hekerji izkoriščajo napako

Glede na varnostno podjetje, je okoli dva milijona ljudi namestilo aplikacije, ki trpijo zaradi ranljivosti, ki ogroža HTTPS. Aplikacije med drugim vključujejo Citrix OpenVoice Audio Conferencing, Alibabino mobilno aplikacijo, Movies by Flixster with Rotten Tomatoes, KYBankAgent 3.0 in Revo Restaurant Point of Sale. Raziskovalci poskušajo ohraniti celoten seznam aplikacij v tajnosti, da bi preprečili, da bi uporabnike iOS-a odprli novemu hekerju, ki bi ranljivost uporabili za nečedne namene. Vendar pa SourceDNA na svojem spletnem mestu razvijalcem ponuja orodje, s katerim lahko preverijo, ali so njihove aplikacije varne.

The raziskovalci ugotovil, da ranljivost izvira iz težave v starejši različici knjižnice odprtokodne kode, imenovane AFNetworking, ki razvijalcem omogoča, da svojim aplikacijam dodajo omrežne zmogljivosti. AFNetworking je težavo odpravil pred približno tremi tedni in številni razvijalci so že posodobili svoje aplikacije za iOS, da bi zapolnili luknjo, vendar je vsaj 1500 aplikacij za iOS še vedno ranljivih. Med podjetji, ki so napako že odpravila, so Yahoo, Uber in Microsoft.

Ali imajo vaše aplikacije za iOS napako pri preverjanju SSL AFNetworking, ki razkrije podatke vaših uporabnikov? Izvedite tukaj! http://t.co/Y4cwr9vwXb

— SourceDNA (@SourceDNA) 20. april 2015

SourceDNA je v objavi v spletnem dnevniku pojasnil, da vsaka aplikacija, ki še vedno uporablja starejšo različico Koda AFNetworking je ranljiva za napade človeka v sredini, ki hekerjem omogočajo dešifriranje HTTPS šifrirani podatki. Deluje takole: hekerji, ki želijo izkoristiti napako, preprosto skočijo na omrežje Wi-Fi kavarne in spremljajo ciljno napravo. Hekerji nato napravi pošljejo goljufivo potrdilo plasti varnih vtičnic. Običajno naprava ugotovi, da je potrdilo ponarejeno, in takoj prekine povezavo. Vendar imajo naprave z aplikacijami, ki poganjajo starejšo različico kode AFNetworking, logično napako, ki omogoča, da ponarejeno potrdilo preide brez varnostnega pregleda.

Razlog, zakaj te aplikacije nikoli ne izvedejo preverjanja, je, da različica AFNetwork 2.5.1 ne ponuja pripenjanje potrdila, ki zagotavlja, da aplikacije uporabljajo določeno potrdilo za preverjanje pristnosti HTTPS in šifriranje. Če tega dodatnega varnostnega preverjanja ni, so prizadete aplikacije popolnoma odprte za hekerje. Zdaj, ko je SourceDNA javno razkril ranljivost, se bodo razvijalci aplikacij najverjetneje odpravili na odpravo napake, vendar lahko traja nekaj časa.

Tukaj je opisano, kako se zaščititi

Na podlagi poročila se zdi, da morajo hekerji ciljati na vašo napravo z uporabo javnih omrežij Wi-Fi, kot so tista v kavarnah in trgovinah. Zaenkrat se je treba izogibati kateremu koli nezaupljivemu omrežju Wi-Fi. V iPhonu ali iPadu lahko tudi izklopite osveževanje aplikacij v ozadju, da se aplikacije ne poskušajo povezati z odprtimi omrežji.

Če vas skrbi, da bi lahko vaš iPhone ali iPad hranil prizadete aplikacije, lahko preverite svoje aplikacije z uporabo orodja SourceDNA. Posodobite tudi vse svoje aplikacije, če so prizadeti razvijalci že izdali posodobitev, da bi zakrpali luknjo. Svoje aplikacije lahko posodobite tako, da obiščete aplikacijo App Store in odprete zavihek za posodobitve v spodnjem desnem kotu.

Z orodjem SourceDNA smo poiskali peščico priljubljenih aplikacij v trgovini App Store, da bi ugotovili, na katere vpliva napaka. Ugotovili smo, da je velika večina aplikacij med 100 najboljšimi brezplačnimi aplikacijami v trgovini App Store varnih. Preverili smo tudi nekaj najbolj plačanih aplikacij in ugotovili, da je prizadetih zelo malo.

Kot lahko vidite, je število prizadetih aplikacij, ki so priljubljene, dejansko zelo majhno in to število se še naprej zmanjšuje, ko podjetja izvajajo posodabljanje. Čeprav se 1.500 aplikacij sliši kot ogromna številka, je glede na milijone aplikacij v trgovini App Store resničnost veliko manjša, kot si mislite. Kljub temu je bolje varno kot obžalovati, torej preverite svoje aplikacije tukaj.

Priporočila urednikov

• 17 skritih funkcij iOS 17, o katerih morate vedeti
• 11 funkcij v iOS 17, ki jih komaj čakam, da jih uporabim na svojem iPhoneu
• iOS 17 ni posodobitev za iPhone, na katero sem upal
• Vse, česar Apple ni dodal v iOS 17
• Bo moj iPhone dobil iOS 17? Tukaj so vsi podprti modeli

Nadgradite svoj življenjski slogDigitalni trendi bralcem pomagajo slediti hitremu svetu tehnologije z vsemi najnovejšimi novicami, zabavnimi ocenami izdelkov, pronicljivimi uvodniki in enkratnimi vpogledi v vsebine.