Michael Fisher
0 
3436
938
SourceDNA, platforma pro analýzu kódu, která audituje aplikace pro Android a iOS, nedávno vydala zprávu, která uvádí, že více než 1 000 aplikací pro iOS má vážné bezpečnostní riziko, které by mohlo ohrozit finanční údaje uživatele..
Chyba brání aplikacím ve správné autentizaci SSL certifikátů Co je to SSL certifikát a potřebujete jej? Co je to SSL certifikát a potřebujete jej? Prohlížení internetu může být děsivé, pokud se jedná o osobní údaje. , otevírá aplikace až do několika útoků typu člověk-uprostřed. I když tato aplikace neovlivňuje zabezpečení samotného systému iOS Smartphone Security: Mohou iPhones získat malware? Zabezpečení smartphonu: Mohou iPhony získat malware? Malware, který ovlivňuje „tisíce“ telefonů iPhone, může krást přihlašovací údaje App Store, ale většina uživatelů iOS je naprosto bezpečná - co tedy řeší iOS a nepoctivý software? , mohlo by to ohrozit uživatelská data přenášená prostřednictvím postižených aplikací ...
Jednoduchá chyba, která porušuje SSL
Tato chyba je v balíčku AFNetworking, populárním síťovém řešení s otevřeným zdrojovým kódem používaném v tisících aplikací App Store. Chyba je jednoduchá logická chyba, která zastaví skutečnou kontrolu SSL a vrací všechny kontroly certifikátů jako platné. Toto není masivní bezpečnostní katastrofa, jako je HeartBleed Heartbleed - Co můžete udělat, abyste zůstali v bezpečí? Heartbleed - Co můžete udělat, abyste zůstali v bezpečí? nebo ShellShock horší než srdce? Seznamte se s ShellShock: Nová bezpečnostní hrozba pro OS X a Linux je ještě horší než srdce? Seznamte se s ShellShock: Nová bezpečnostní hrozba pro OS X a Linux - ale je to problém, pokud používáte aplikaci, která obsahuje chybu. Naštěstí chyba existovala pouze asi šest týdnů, přidána v 2.5.1 a opravena v 2.5.2. Dalo by se rozumně předpokládat, že je to konec příběhu.
Bohužel ne.
Je smutné, že mnoho vývojářů neaktualizuje své aplikace aktuálně s opravami chyb a existuje spousta aplikací, které stále používají nefunkční verzi AFNetworking, navzdory dostupnosti opravy. SourceDNA analyzovala 20 000 aplikací, které obsahují verze balíčku AFNetworking, a zjistila, že asi 1 000 stále používá nefunkční kontrolu SSL.
SourceDNA byla schopna provést tuto kontrolu pomocí analytických nástrojů, které umožňují analyzovat binární soubory tisíců aplikací. Jejich technologie jim umožňuje identifikovat nejen knihovny, se kterými byly tyto aplikace zkompilovány, ale které verze z těchto knihoven. Ukazuje se, že je to neuvěřitelně užitečné pro určení, které aplikace mohou být ovlivněny známými chybami a zranitelnostmi. Podle zveřejněného článku,
“SourceDNA od nich vytvořila diferenciální otisk prstu, aby našla zranitelný kód. Přemýšlejte o tom jako o souboru jedinečných charakteristik, které byly přítomny nebo chyběly pouze v cílové verzi a nikoliv jiné před ní nebo po něm. S touto sadou podpisů by náš analytický stroj přesně řekl, která verze AFNetworking byla používána v každé aplikaci. “
Mnoho dotčených aplikací ukládá a přenáší údaje o kreditní kartě uživatele, včetně mobilní aplikace Alibaba.com, KYBankAgent 3.0 a prodejního místa Revo Restaurant. Několik milionů uživatelů má na svém zařízení se systémem iOS nainstalovanou zranitelnou aplikaci - úžasné množství expozice z takové krátké chyby.
“Nedostatek měl 5% nebo asi 1 000 aplikací. Jsou tyto aplikace důležité? Srovnali jsme je s našimi hodnostními údaji a našli jsme několik velkých hráčů: Yahoo !, Microsoft, Uber, Citrix atd. Překvapuje nás, že open-source knihovna, která zavedla bezpečnostní chybu na pouhých 6 týdnů vystavena miliony uživatelů k útoku.”
Posouzení dopadu chyby AFNetworking
Jak špatná je tato chyba zabezpečení? Chyba umožňuje útočníkům oklamat aplikace, aby si mysleli, že komunikují prostřednictvím zabezpečeného připojení s důvěryhodným serverem. Pokud používáte zranitelnou aplikaci, může kdokoli ve stejné síti Wi-Fi, jak můžete nastavit útok typu člověk-uprostřed, Co je to útok člověka-uprostřed? Bezpečnostní žargon vysvětlil, co je to útok člověka uprostřed? Bezpečnostní žargon vysvětlil Pokud jste slyšeli o útokech typu „člověk uprostřed“, ale nejste si jisti, co to znamená, jedná se o článek pro vás. a zachytit informace z aplikací, včetně citlivých dat, jako jsou informace o kreditní kartě. Tyto informace by pak mohly být použity k usnadnění krádeže identity. 6 Varovné signály proti krádeži digitální identity, které byste neměli ignorovat upadnout do pasti myšlení, že se vždy stane „někomu jinému“. Nevšímejte si výstražných značek. a další formy podvodu. Tento útok by mohl být automatizován za účelem cílení na oblíbené aplikace.
Řada společností spěchala od aktualizace zpráv a oprav, včetně společností Microsoft a Yahoo. Většina aplikací však zůstává nepatřená. Chcete-li zjistit, zda jsou aplikace, které používáte, ovlivněny, můžete použít vyhledávací nástroj SourceDNA. Pokud zjistíte, že jedna z vašich aplikací je stále zranitelná, nejbezpečnější strategií je dočasné odstranění a vývojářům pošlete zprávu, aby co nejdříve vydali opravu..
SourceDNA je chytrý nástroj, což ukazuje, že jejich technologie je skutečně užitečná. Počítačová bezpečnost je tvrdá a nástroj, který může automatizovat proces hledání neodesílaných chyb - s nebo bez spolupráce vývojářů - je obrovskou výhrou pro bezpečnost uživatelů. Bez této kontroly by tato rozšířená chyba přetrvávala pravděpodobně pravděpodobně dlouhou dobu. Tento druh analýzy umožňuje hromadné veřejné hanby, díky nimž jsou vývojáři mnohem odpovědnější, a zdá se pravděpodobné, že SourceDNA odhalí další nezjištěné a nevyřešené problémy..
Ovlivňuje vaše zařízení iOS chybu AFNetworking? Jste těmito novými analytickými nástroji nadšeni? Dejte nám vědět v komentářích!
Obrazové kredity: “US Navy Cyberwarfare,” “Přední část iPhone, “Kamera pro iPhone“, Wikimedia