Reklama

SourceDNA, platforma na analýzu kódov, ktorá vykonáva audit aplikácií pre Android a iOS, nedávno vydala správu s uvedením že viac ako 1 000 aplikácií pre iOS má vážne bezpečnostné riziko, ktoré by mohlo ohroziť finančné prostriedky používateľa detaily.

Chyba bráni správnemu overeniu aplikácií SSL certifikáty Čo je to certifikát SSL a potrebujete ho?Ak sa jedná o osobné údaje, prehliadanie internetu môže byť desivé. Čítaj viac , otváranie aplikácií až po množstvo útokov typu človek v strede. Aj keď táto aplikácia nemá vplyv na bezpečnosť samotného systému iOS Bezpečnosť smartfónov: Môžu telefóny iPhone získať malvér?Škodlivý softvér, ktorý ovplyvňuje „tisíce“ telefónov iPhone, môže ukradnúť poverenia App Store, ale väčšina používateľov systému iOS je úplne bezpečná - čo teda súvisí so softvérom iOS a nečestnými? Čítaj viac , mohlo by to ohroziť údaje používateľa prenášané prostredníctvom postihnutých aplikácií ...

Jednoduchá chyba, ktorá porušuje SSL

iphonefront

chyba je v balíku AFNetworking, populárnom sieťovom riešení s otvoreným zdrojom, ktoré sa používa v tisíckach aplikácií App Store. Chyba je jednoduchá logická chyba, ktorá zastaví skutočnú kontrolu SSL a vráti všetky kontroly certifikátov ako platné. Toto nie je masívna bezpečnostná katastrofa

instagram viewer
HeartBleed Heartbleed - Čo môžete urobiť, aby ste zostali v bezpečí? Čítaj viac alebo ShellShock Horšie ako srdce? Zoznámte sa s ShellShock: nová bezpečnostná hrozba pre OS X a Linux Čítaj viac - ale je to problém, ak používate aplikáciu, ktorá obsahuje chybu. Našťastie chyba existovala iba asi šesť týždňov, pridala sa do 2.5.1 a opravila sa v 2.5.2. Dalo by sa rozumne predpokladať, že je to koniec príbehu.

Bohužiaľ nie.

Je smutné, že veľa vývojárov neaktualizuje svoje aplikácie aktuálne s opravami chýb banda aplikácií, ktoré stále používajú nefunkčnú verziu AFNetworking, a to napriek dostupnosti a náplasť. SourceDNA analyzovala 20 000 aplikácií, ktoré obsahujú verzie balíka AFNetworking, a zistila, že približne 1 000 stále používa prerušenú kontrolu SSL.

iphoneback

SourceDNA bola schopná vykonať túto kontrolu pomocou analytických nástrojov, ktoré umožňujú analyzovať binárne súbory tisíc aplikácií. Ich technológia im umožňuje identifikovať nielen knižnice, s ktorými boli tieto aplikácie zostavené, ale ktoré verzia z týchto knižníc. Ukazuje sa, že je to neuveriteľne užitočné pri zisťovaní, na ktoré aplikácie môžu mať vplyv známe chyby a zraniteľné miesta. Podľa zverejneného článku,

„SourceDNA od nich vytvorila diferenciálny odtlačok prsta, aby našli zraniteľný kód. Mysli na to ako na súbor jedinečných charakteristík, ktoré boli prítomné alebo chýbali iba v cieľovej verzii, a nie ako iné pred alebo po nej. S touto sadou podpisov by nám náš analytický nástroj povedal presne, ktorá verzia služby AFNetworking sa používa v každej aplikácii.

Mnohé z postihnutých aplikácií ukladajú a prenášajú údaje o kreditných kartách používateľov vrátane Mobilná aplikácia Alibaba.com, KYBankAgent 3.0a Miesto predaja reštaurácie Revo. Niekoľko miliónov používateľov má na svojom zariadení so systémom iOS nainštalovanú zraniteľnú aplikáciu - úžasná miera vystavenia sa tejto krátkej chybe.

„5% alebo asi 1 000 aplikácií malo chybu. Sú tieto aplikácie dôležité? Porovnali sme ich s našimi hodnotiacimi údajmi a našli sme niekoľko veľkých hráčov: Yahoo!, Microsoft, Uber, Citrix atď. Prekvapuje nás, že otvorená knižnica, ktorá predstavila bezpečnostnú chybu, bola odhalená iba 6 týždňov milióny používateľov na útok. “

Posúdenie vplyvu AFNetworking Bug

Aká zlá je táto zraniteľnosť? Chyba umožňuje útočníkom oklamať aplikácie, aby si mysleli, že komunikujú prostredníctvom zabezpečeného pripojenia s dôveryhodným serverom. Ak používate zraniteľnú aplikáciu, ktokoľvek v rovnakej sieti Wi-Fi, ako si môžete nastaviť útok typu človek v strede Čo je to útok typu Človek v strede? Vysvetlenie bezpečnostného žargónuAk ste už počuli o útokoch typu „človek v strede“, ale nie ste si úplne istí, čo to znamená, toto je článok pre vás. Čítaj viac a zachytiť informácie z aplikácií vrátane citlivých údajov, ako sú informácie o kreditných kartách. Tieto informácie by sa potom mohli použiť na uľahčenie krádež identity 6 Výstražné znaky krádeže digitálnej identity, ktoré by ste nemali ignorovaťKrádež identity nie je v dnešnej dobe príliš zriedkavá, ale často sa dostávame do pasce myslenia, že vždy sa stane „niekomu inému“. Nevšímajte si výstražných značiek. Čítaj viac a ďalšie formy podvodu. Tento útok by sa mohol prípadne zacieľovať na populárne aplikácie.

081203-N-2147L-390

Niekoľko spoločností od spustenia správ rozbehlo aktualizácie a opravy, vrátane spoločností Microsoft a Yahoo. Väčšina aplikácií však zostáva neodoslaná. Ak chcete zistiť, či sú ovplyvnené aplikácie, ktoré používate, môžete použiť vyhľadávací nástroj SourceDNA. Ak zistíte, že niektorá z vašich aplikácií je stále zraniteľná, najbezpečnejšou stratégiou je jej dočasné odstránenie a vývojárom pošlite správu, aby požiadala o čo najrýchlejšiu opravu.

SourceDNA je šikovný nástroj, čo dokazuje, že ich technológia je skutočne užitočná. Počítačová bezpečnosť je tvrdá a nástroj, ktorý môže automatizovať proces hľadania chýb bez opravy - s alebo bez spolupráce vývojárov - je obrovskou výhrou pre bezpečnosť používateľov. Bez tohto druhu kontroly by táto rozšírená chyba pretrvávala pravdepodobne pravdepodobne dosť dlho. Tento druh analýzy umožňuje hromadné verejné hanby, vďaka ktorým sú vývojári oveľa zodpovednejší, a zdá sa pravdepodobné, že SourceDNA odhalí ďalšie neodhalené a nevyriešené problémy.

Ovplyvňuje vaše zariadenie iOS chybu AFNetworking? Ste nadšení týmito novými analytickými nástrojmi? Dajte nám vedieť v komentároch!

Obrázkové kredity: “US Navy Cyberwarfare, „Predná strana zariadenia iPhone“,Kamera pre iPhone“, Wikimedia

Andrej, spisovateľ a novinár so sídlom na juhozápade, má zaručenú funkčnosť do 50 stupňov Celzia a je vodotesný do hĺbky 12 stôp.