1500 програм для iOS уразливі до помилки безпеки

Ми переглянули програми, які найчастіше завантажують в App Store, і виявили, що помилка все ще стосується дуже небагатьох найпопулярніших безкоштовних і платних програм. Незважаючи на це, найкраще перевірити, чи ваші програми вразливі, і дізнатися, як захистити себе.

Ось усе, що вам потрібно знати.

Ось як хакери використовують недолік

Відповідно до охоронна фірма, близько двох мільйонів людей встановили програми, які страждають від уразливості HTTPS. Серед додатків, зокрема, Citrix OpenVoice Audio Conferencing, мобільний додаток Alibaba, Movies by Flixster with Rotten Tomatoes, KYBankAgent 3.0 і Revo Restaurant Point of Sale. Дослідники намагаються тримати в таємниці повний список додатків, щоб не відкрити користувачів iOS для більшої кількості хакерів, які використали б уразливість у підлих цілях. Однак на своєму веб-сайті SourceDNA пропонує інструмент для розробників, щоб вони могли перевірити, чи їхні програми безпечні.

The дослідники виявили, що вразливість походить від проблеми в старішій версії бібліотеки відкритого коду під назвою AFNetworking, яка дозволяє розробникам додавати мережеві можливості до своїх програм. AFNetworking вирішив проблему близько трьох тижнів тому, і багато розробників уже оновили свої програми для iOS, щоб закрити діру, але принаймні 1500 програм для iOS все ще вразливі. Серед компаній, які вже виправили недолік, Yahoo, Uber і Microsoft.

Чи є у ваших додатків для iOS помилка перевірки SSL AFNetworking, яка розкриває інформацію про користувачів? Дізнайтеся тут! http://t.co/Y4cwr9vwXb

— SourceDNA (@SourceDNA) 20 квітня 2015 року

SourceDNA пояснив у дописі в блозі, що будь-яка програма, яка все ще використовує старішу версію Код AFNetworking вразливий до атак типу "людина посередині", які дозволяють хакерам розшифрувати Дані, зашифровані HTTPS. Ось як це працює: хакери, які хочуть використати недолік, просто підключаються до мережі Wi-Fi кав’ярні, щоб контролювати цільовий пристрій. Потім хакери надсилають на пристрій шахрайський сертифікат рівня захищених сокетів. Як правило, пристрій усвідомлює, що сертифікат підроблений, і негайно розриває з’єднання. Однак пристрої з програмами, які запускають старішу версію коду AFNetworking, мають логічну помилку, через яку фальшивий сертифікат проходить без перевірки безпеки.

Причина, чому перевірка ніколи не виконується цими програмами, полягає в тому, що AFNetwork версії 2.5.1 не пропонує закріплення сертифіката, яке гарантує, що програми використовують певний сертифікат для автентифікації HTTPS і шифрування. Відсутність цієї додаткової перевірки безпеки робить уражені програми повністю відкритими для хакерів. Тепер, коли SourceDNA публічно оприлюднив вразливість, розробники додатків, швидше за все, спробують усунути недолік, але це може зайняти час.

Ось як захистити себе

Виходячи зі звіту, здається, що хакерам доводиться націлюватися на ваш пристрій за допомогою загальнодоступних мереж Wi-Fi, таких як ті, що знаходяться в кафе та магазинах. На даний момент слід уникати будь-якої ненадійної мережі Wi-Fi. Ви також можете вимкнути фонове оновлення програм на своєму iPhone або iPad, щоб програми не намагалися підключитися до відкритих мереж.

Якщо ви стурбовані тим, що на вашому iPhone або iPad можуть бути заражені програми, ви можете перевірте свої програми за допомогою інструменту SourceDNA. Ви також повинні оновити всі свої програми, якщо постраждалі розробники вже випустили оновлення, щоб виправити діру. Ви можете оновити свої програми, перейшовши в програму App Store і перейшовши на вкладку оновлень у нижньому правому куті.

Ми використали інструмент SourceDNA для пошуку кількох популярних програм у App Store, щоб побачити, які з них уражені помилкою. Ми виявили, що переважна більшість програм із 100 найпопулярніших безкоштовних програм App Store є безпечними. Ми також перевірили декілька найпопулярніших платних додатків і виявили, що їх постраждало дуже мало.

Як бачите, кількість популярних додатків, які постраждали, насправді дуже мала, і ця кількість продовжує зменшуватися, оскільки компанії виконують оновлення. Хоча 1500 додатків звучить як величезна кількість, враховуючи мільйони додатків у App Store, реальність набагато менша, ніж ви думаєте. Тим не менш, краще перестрахуватися, ніж шкодувати перевірте свої програми тут.

Рекомендації редакції

• 17 прихованих функцій iOS 17, про які вам потрібно знати
• 11 функцій в iOS 17, які я не можу дочекатися, щоб використовувати на своєму iPhone
• iOS 17 — це не те оновлення для iPhone, на яке я сподівався
• Все, що Apple не додала в iOS 17
• Чи отримає мій iPhone iOS 17? Ось усі підтримувані моделі

Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.