Reklame

SourceDNA, en kodeanalyseplatform, der kontrollerer Android- og iOS-apps, frigav for nylig en rapport, der angiver at mere end 1.000 iOS-apps har en alvorlig sikkerhedssårbarhed, der kan kompromittere en brugers økonomiske detaljer.

Fejlen forhindrer apps i at autentificere korrekt SSL-certifikater Hvad er et SSL-certifikat, og har du brug for et?Det kan være skræmmende at surfe på internettet, når det drejer sig om personlige oplysninger. Læs mere , åbner apps op til et antal angreb på midten af ​​midten. Selvom denne app ikke påvirker sikkerhed for iOS selv Smartphone-sikkerhed: Kan iPhones få malware?Malware, der påvirker "tusinder" af iPhones, kan stjæle App Store-legitimationsoplysninger, men størstedelen af ​​iOS-brugere er helt sikre - så hvad er der med iOS og useriøs software? Læs mere , kan det kompromittere brugerdata, der overføres via berørte apps ...

En simpel fejl, der bryder SSL

iphonefront

Det den pågældende fejl findes i AFNetworking-pakken, en populær open source-netværksløsning, der bruges i tusinder af App Store-apps. Fejlen er en simpel logisk fejl, der forhindrer, at SSL-kontrollen faktisk finder sted, og returnerer alle certifikatcheck som gyldige. Dette er ikke en massiv sikkerhedskatastrofe som

instagram viewer
heartbleed-bug Heartbleed - Hvad kan du gøre for at være sikker? Læs mere eller ShellShock Værre end Heartbleed? Mød ShellShock: En ny sikkerhedstrussel til OS X og Linux Læs mere - men det er et problem, hvis du bruger en app, der indeholder fejlen. Heldigvis eksisterede fejlen kun i ca. seks uger, tilføjet i 2.5.1 og rettet i 2.5.2. Du kan med rimelighed antage, at det er slutningen på historien.

Desværre ikke.

Desværre holder mange udviklere ikke aktivt deres apps opdaterede med fejlrettelser, og der er en en masse apps, der stadig bruger den ødelagte version af AFNetworking, på trods af tilgængeligheden af ​​en lappe. SourceDNA analyserede 20.000 apps, der indeholder versioner af AFNetworking-pakken, og konstaterede, at omkring 1.000 stadig bruger den ødelagte SSL-check.

iphoneback

SourceDNA var i stand til at udføre denne kontrol ved hjælp af analyseværktøjer, der gør det muligt at analysere de binære filer i tusinder af apps. Deres teknologi giver dem mulighed for ikke kun at identificere, hvilke biblioteker disse apps blev kompileret med, men hvilke versioner af disse biblioteker. Som det viser sig, er dette utroligt nyttigt til at identificere, hvilke apps der kan blive påvirket af kendte fejl og sårbarheder. Ifølge det frigivne papir,

“SourceDNA oprettede et differentielt fingeraftryk fra dem for at finde den sårbare kode. Tænk på dette som et sæt unikke egenskaber, der kun var til stede eller fraværende i den målrettede version og ikke nogen andre før eller efter den. Med dette sæt underskrifter ville vores analysemotor fortælle os nøjagtigt, hvilken version af AFNetworking der var i brug i hver app.

Mange af de berørte apps gemmer og transmitterer brugerkreditkortdata, inklusive det Alibaba.com mobilapp, KYBankAgent 3.0, og Revo Restaurant salgssted. Flere millioner brugere har en sårbar app installeret på deres iOS-enhed - en forbløffende mængde eksponering fra en sådan kort fejl.

”5% eller ca. 1.000 apps havde fejlen. Er disse apps vigtige? Vi sammenlignede dem med vores rangeringsdata og fandt nogle store spillere: Yahoo!, Microsoft, Uber, Citrix osv. Det forbløffer os, at et open source-bibliotek, der introducerede en sikkerhedsfejl i kun 6 uger blev udsat millioner af brugere, der skal angribe. ”

Evaluering af virkningen af AFNetworking Bug

Hvor dårlig er denne sårbarhed? Fejlen tillader angribere at narre apps til at tro, at de kommunikerer via en sikker forbindelse med en betroet server. Hvis du bruger en sårbar app, kan alle på det samme WiFi-netværk som du konfigurere en mand-i-midten angreb Hvad er et menneske i midten-angreb? Sikkerheds jargon forklaretHvis du har hørt om "mand-i-midten" -angreb, men ikke er helt sikker på, hvad det betyder, er dette artiklen for dig. Læs mere og opsnappe oplysninger fra apps, herunder følsomme data som kreditkortoplysninger. Disse oplysninger kan derefter bruges til at lette identitetstyveri 6 Advarselsskilte om digital identitetstyveri, som du ikke bør ignorereIdentitetstyveri er ikke for sjældent for en begivenhed i disse dage, men alligevel falder vi ofte i fælden med at tro, at det altid vil ske med "en anden". Ignorer ikke advarselsskiltene. Læs mere og andre former for svig. Potentielt kan denne form for angreb automatiseres til at målrette mod populære apps.

081.203-N-2147L-390

En række virksomheder har skyndet sig opdateringer og rettelser siden nyheden brød, inklusive Microsoft og Yahoo. De fleste af apperne forbliver dog ikke udsendt. For at se, om de apps, du bruger, er berørt, kan du bruge SourceDNA-søgeværktøjet. Hvis du opdager, at en af ​​dine apps stadig er sårbar, er den sikreste strategi at slette den midlertidigt og sende en meddelelse til udviklerne, der beder dem om at lægge en patch så hurtigt som muligt.

SourceDNA er et smart værktøj, og dette viser, at deres teknologi er virkelig nyttig. Computersikkerhed er hårdt, og et værktøj, der kan automatisere processen med at lede efter upålagte fejl - med eller uden udviklersamarbejde - er en enorm gevinst for brugersikkerhed. Uden denne form for kontrol, ville denne udbredte fejl have vedvaret, sandsynligvis i ganske lang tid. Denne form for analyse muliggør offentlig offentlig shaming, der gør udviklere meget mere ansvarlige, og det ser ud til, at SourceDNA vil afsløre yderligere uopdagede og uløste problemer.

Er din iOS-enhed påvirket af AFNetworking-bug? Er du begejstret over disse nye analyseværktøjer? Fortæl os det i kommentarerne!

Billedkreditter: “US Navy Cyberwarfare, ”“ IPhone foran, ”iPhone kamera“Af Wikimedia

Andre er en forfatter og journalist med base i det sydvestlige USA, og det garanteres at forblive funktionelt op til 50 grader Celcius og er vandtæt til en dybde på 12 meter.