Annons

SourceDNA, en kodanalysplattform som granskar Android- och iOS-appar, släppte nyligen en rapport som indikerar att mer än 1 000 iOS-appar har en allvarlig säkerhetssårbarhet som kan äventyra användarens ekonomiska detaljer.

Buggen hindrar apparna från att autentisera korrekt SSL-certifikat Vad är ett SSL-certifikat och behöver du ett?Att surfa på internet kan vara skrämmande när personlig information är inblandad. Läs mer , öppnar apparna för ett antal attacker mellan män och i mitten. Denna app påverkar inte säkerheten för iOS själv Smartphonesäkerhet: Kan iPhones skaffa skadlig programvara?Malware som påverkar "tusentals" iPhones kan stjäla App Store-referenser, men majoriteten av iOS-användare är helt säkra - så vad har det med iOS och skurkprogram? Läs mer , det kan äventyra användardata som överförs via berörda appar ...

En enkel bugga som bryter SSL

iphonefront

De fel i fråga finns i AFNetworking-paketet, en populär nätverkslösning med öppen källkod som används i tusentals App Store-appar. Buggen är ett enkelt logikfel som stoppar SSL-kontrollen från att faktiskt äga rum, vilket returnerar alla certifikatkontroller som giltiga. Detta är inte en enorm säkerhetskatastrof som

instagram viewer
heartbleed Heartbleed - Vad kan du göra för att hålla dig säker? Läs mer eller Shellshock Värre än heartbleed? Möt ShellShock: En ny säkerhetshot för OS X och Linux Läs mer - men det är ett problem om du använder en app som innehåller felet. Lyckligtvis fanns felet bara i cirka sex veckor, lagt till i 2.5.1 och fixat i 2.5.2. Du kan rimligen anta att det är slutet på historien.

Tyvärr inte.

Tyvärr håller många utvecklare inte aktivt sina appar uppdaterade med bugfixar, och det finns en massor av appar som fortfarande använder den trasiga versionen av AFNetworking, trots tillgängligheten av en lappa. SourceDNA analyserade 20 000 appar som innehåller versioner av AFNetworking-paketet och bestämde att cirka 1 000 fortfarande använder den trasiga SSL-kontrollen.

iphoneback

SourceDNA kunde utföra denna kontroll genom att använda analysverktyg som gör det möjligt att analysera de binära filerna i tusentals appar. Deras teknik låter dem inte bara identifiera vilka bibliotek dessa appar har sammanställts med, utan vilka versioner av dessa bibliotek. Det visar sig att detta är oerhört användbart för att identifiera vilka appar som kan påverkas av kända buggar och sårbarheter. Enligt det släppta pappret

"SourceDNA skapade ett differentiellt fingeravtryck från dem för att hitta den sårbara koden. Tänk på detta som en uppsättning unika egenskaper som endast var närvarande eller frånvarande i den riktade versionen och inte några andra före eller efter den. Med denna uppsättning signaturer skulle vår analysmotor säga exakt vilken version av AFNetworking som användes i varje app.

Många av de berörda apparna lagrar och överför användarkreditkortsdata, inklusive de Alibaba.com mobilapp, KYBankAgent 3.0, och Revo Restaurant försäljningsstället. Flera miljoner användare har en sårbar app installerad på sin iOS-enhet - en häpnadsväckande exponering från ett så kort fel.

”5% eller cirka 1 000 appar hade felet. Är dessa appar viktiga? Vi jämförde dem mot våra rankningsdata och hittade några stora spelare: Yahoo!, Microsoft, Uber, Citrix, etc. Det förvånar oss att ett öppet källkodsbibliotek som introducerade en säkerhetsbrist i endast sex veckor miljoner av användare att attackera. ”

Utvärdering av effekterna av AFNetworking Bug

Hur illa är denna sårbarhet? Buggen gör det möjligt för angripare att lura appar att tro att de kommunicerar via en säker anslutning med en betrodd server. Om du använder en sårbar app, kan alla i samma WiFi-nätverk som du ställa in en man-i-mitt-attacken Vad är en man i mittenattack? Säkerhetsjargong förklarasOm du har hört talas om "man-in-the-middle" -attacker men inte är helt säker på vad det betyder, är det här artikeln för dig. Läs mer och avlyssna information från apparna, inklusive känslig information som kreditkortsinformation. Denna information kan sedan användas för att underlätta identitetsstöld 6 Varningstecken för digital identitetsstöld som du inte borde ignoreraIdentitetsstöld är inte för sällsynt av att det inträffar idag, men vi faller ofta i fällan att tänka att det alltid kommer att hända med "någon annan". Ignorera inte varningsskyltarna. Läs mer och andra former av bedrägeri. Potentiellt kan denna typ av attack automatiseras för att rikta in sig på populära appar.

081203-N-2147L-390

Ett antal företag har rusat ut uppdateringar och korrigeringar sedan nyheterna bröt, inklusive Microsoft och Yahoo. De flesta apparna förblir dock oöverträffade. För att se om apparna du använder är påverkade kan du använda SourceDNA-sökverktyget. Om du upptäcker att en av dina appar fortfarande är sårbar är den säkraste strategin att ta bort den tillfälligt och meddela utvecklarna att be dem lägga ut en patch så snart som möjligt.

SourceDNA är ett smart verktyg, och detta visar att deras teknik är verkligen användbar. Datorsäkerhet är svårt, och ett verktyg som kan automatisera processen att leta efter oöverträffade buggar - med eller utan utvecklarsamarbete - är en enorm vinst för användarsäkerhet. Utan den här typen av kontroll skulle detta utbredda fel ha kvarstått, antagligen under ganska lång tid. Denna typ av analys möjliggör massa offentliga skamningar som gör utvecklarna mycket mer ansvarsfulla, och det verkar troligt att SourceDNA kommer att avslöja ytterligare oupptäckta och olösta problem.

Påverkas din iOS-enhet av AFNetworking-felet? Är du upphetsad över de nya analysverktygen? Låt oss veta i kommentarerna!

Bildkrediter: “US Navy Cyberwarfare, "" IPhone-front, "iPhone-kamera“, Av Wikimedia

En författare och journalist baserad på sydväst, garanteras Andre att vara funktionell upp till 50 grader Celcius och är vattentät till ett djup av tolv meter.