SourceDNA, en kodeanalyseplatform som reviderer Android og IOS-apper, har nylig utgitt en rapport som viser at mer enn 1000 iOS-apper har et alvorlig sikkerhetsproblem som kan kompromittere brukerens økonomiske detaljer.
Feilen forhindrer appene i å autentisere SSL-sertifikater. Hva er et SSL-sertifikat, og trenger du en? Hva er et SSL-sertifikat, og trenger du en? Bla gjennom Internett kan være skummelt når personlig informasjon er involvert. Les mer, åpne appene opp til en rekke man-i-midten-angrep. Mens denne appen ikke påvirker sikkerheten til iOS-enheten, Smartphone Security: Kan iPhones få skadelig programvare? Smartphone Security: Kan iPhones få skadelig programvare? Malware som påvirker "tusenvis" av iPhones, kan stjele App Store-legitimasjon, men de fleste iOS-brukere er helt trygge - så hva er avtale med iOS og rogue-programvare? Les mer, det kan kompromittere brukerdata overført gjennom berørte apper ...
En enkel feil som bryter SSL
Den aktuelle feilen er i AFNetworking-pakken, en populær åpen kildekode-nettverksløsning som brukes i tusenvis av App Store-apper. Feilen er en enkel logikkfeil som stopper SSL-sjekken fra å finne sted, og returnerer alle sertifikatkontrollene som gyldige. Dette er ikke en massiv sikkerhetskatastrofe som HeartBleed Heartbleed - hva kan du gjøre for å være trygg? Heartbleed - Hva kan du gjøre for å være trygg? Les mer eller ShellShock Verre enn Heartbleed? Møt ShellShock: En ny sikkerhetstrussel for OS X og Linux Verre enn Heartbleed? Møt ShellShock: En ny sikkerhetsrisiko for OS X og Linux Read More - men det er et problem hvis du bruker en app som inneholder feilen. Heldigvis eksisterte buggen i bare omtrent seks uker, lagt til i 2.5.1, og fast i 2.5.2. Du kan med rimelighet anta at det er slutten på historien.
Dessverre ikke.
Dessverre holder mange utviklere ikke aktivt appene sine oppdatert med feilrettinger, og det er en mengde apper som fortsatt bruker den ødelagte versjonen av AFNetworking, til tross for tilgjengeligheten av en oppdatering. SourceDNA analyserte 20.000 apper som inneholder versjoner av AFNetworking-pakken, og fastslått at rundt 1000 fortsatt bruker den ødelagte SSL-sjekken.
SourceDNA var i stand til å utføre denne sjekken ved hjelp av analyseringsverktøy som gjør det mulig å analysere binære filer fra tusenvis av apper. Deres teknologi lar dem identifisere ikke bare hvilke biblioteker disse appene ble samlet sammen med, men hvilke versjoner av disse bibliotekene. Som det viser seg, er dette utrolig nyttig for å identifisere hvilke apper som kan påvirkes av kjente feil og sårbarheter. Ifølge papiret utgitt,
"SourceDNA opprettet et differensielt fingeravtrykk fra dem for å finne den sårbare koden. Tenk på dette som et sett av unike egenskaper som var tilstede eller fraværende bare i den målrettede versjonen og ikke noen andre før eller etter den. Med dette settet av signaturer, ville vår analysemotor fortelle oss nøyaktig hvilken versjon av AFNetworking som ble brukt i hver app. “
Mange av de berørte appene lagrer og sender brukerkredittkortdata, inkludert Alibaba.com-mobilapp, KYBankAgent 3.0 og Revo Restaurant Point of Sale. Flere millioner brukere har en sårbar app installert på deres iOS-enhet - en forbløffende mengde eksponering fra en så kort feil.
"5% eller ca 1000 apps hadde feilen. Er disse appene viktige? Vi sammenlignet dem med våre rangdata og fant noen store spillere: Yahoo !, Microsoft, Uber, Citrix, etc. Det amazes oss at et åpen kildebibliotek som introduserte en sikkerhetsfeil i bare 6 uker, utgjorde millioner av brukere å angripe.
Vurdere virkningen av AFNetworking Bug
Hvor dårlig er dette sårbarheten? Feilen lar angripere å lure apps til å tro at de kommuniserer over en sikker forbindelse med en klarert server. Hvis du bruker en sårbar app, kan alle på samme Wi-Fi-nettverk som du kan sette opp et mann-i-midten-angrep. Hva er en mann-i-midt-angrep? Sikkerhetsjargong Forklart Hva er et menneske-i-midt-angrep? Sikkerhetsjargong Forklaret Hvis du har hørt om "man-i-midten" -angrep, men ikke helt sikker på hva det betyr, er dette artikkelen for deg. Les mer og avlyssing info fra appene, inkludert sensitive data som kredittkortinformasjon. Denne informasjonen kan da brukes til å lette identitetstyveri 6 Advarselsskilte av digital identitetstyveri Du bør ikke ignorere 6 advarselsskilte av digital identitetstyveri Du bør ikke ignorere Identitetsstyveri er ikke så sjelden av en forekomst i disse dager, men vi ofte falle i fellen av å tenke at det alltid kommer til å skje med "noen andre". Ikke ignorér advarselsskiltene. Les mer og andre former for svindel. Potensielt kan denne typen angrep automatiseres for å målrette populære apper.
En rekke selskaper har rushed ut oppdateringer og fikser siden nyheten brøt, inkludert Microsoft og Yahoo. De fleste av programmene forblir imidlertid uppatched. For å se om appene du bruker påvirkes, kan du bruke SourceDNA søkeverktøyet. Hvis du oppdager at en av appene dine fortsatt er sårbar, er den sikreste strategien å slette den midlertidig, og meld utviklerne om å legge ut en oppdatering så snart som mulig.
SourceDNA er et smart verktøy, og dette demonstrerer at deres teknologi er virkelig nyttig. Datasikkerhet er vanskelig, og et verktøy som kan automatisere prosessen med å lete etter upakket bugs - med eller uten utvikler-samarbeid - er en stor gevinst for brukersikkerhet. Uten denne typen kontroll, ville denne utbredte feilen ha vedvaret, sannsynligvis i ganske lang tid. Denne typen analyse muliggjør masse offentlig shaming som gjør utviklere mye mer ansvarlig, og det synes sannsynlig at SourceDNA vil avdekke videre uoppdagede og uløste problemer.
Er din iOS-enhet berørt av AFNetworking-feilen? Er du begeistret av disse nye analyseverktøyene? Gi oss beskjed i kommentarene!
Bildekreditter: "US Navy Cyberwarfare, " "iPhone front, " iPhone kamera ", av Wikimedia