Reklāma

Kodu analītikas platforma SourceDNA, kas auditē Android un iOS lietotnes, nesen izlaida ziņojumu, kurā norādīts ka vairāk nekā 1000 iOS lietotņu ir nopietna drošības ievainojamība, kas var apdraudēt lietotāja finansiālo stāvokli detaļas.

Kļūda neļauj lietotnēm pareizi autentificēties SSL sertifikāti Kas ir SSL sertifikāts, un vai jums tas ir vajadzīgs?Interneta pārlūkošana var būt biedējoša, ja ir iesaistīta personiskā informācija. Lasīt vairāk , atverot lietotnes vairākiem uzbrukumiem “vidusdaļā”. Lai gan šī lietotne neietekmē pašas iOS drošība Viedtālruņu drošība: vai iPhone var iegūt ļaunprātīgu programmatūru?Ļaunprātīga programmatūra, kas ietekmē "tūkstošiem" iPhones, var nozagt App Store akreditācijas datus, taču lielākā daļa iOS lietotāju ir pilnīgi droši - kas tad ir ar iOS un negodīgu programmatūru? Lasīt vairāk , tas varētu apdraudēt lietotāja datus, kas tiek pārsūtīti caur ietekmētajām lietotnēm ...

Vienkārša kļūda, kas pārtrauc SSL

iphonefront

attiecīgā kļūda ir AFNetworking paketē - populārā atvērtā pirmkoda tīkla risinājumā, ko izmanto tūkstošiem App Store lietotņu. Kļūda ir vienkārša loģikas kļūda, kas neļauj SSL pārbaudei faktiski notikt, atdodot visas sertifikātu pārbaudes kā derīgas. Tā nav tāda liela mēroga drošības katastrofa kā

instagram viewer
HeartBleed Sirdsdarbība - ko jūs varat darīt, lai saglabātu drošību? Lasīt vairāk vai ShellShock Sliktāk nekā sirds? Iepazīstieties ar ShellShock: jauns drošības drauds OS X un Linux Lasīt vairāk - bet tā ir problēma, ja izmantojat lietotni, kurā ir kļūda. Par laimi kļūda pastāvēja tikai apmēram sešas nedēļas, tika pievienota 2.5.1. Un labota 2.5.2. Jūs varētu pamatoti pieņemt, ka tas ir stāsta beigas.

Diemžēl nē.

Diemžēl daudzi izstrādātāji aktīvi neveic savu lietotņu atjaunināšanu ar kļūdu labojumiem, un ir daži ķekars lietotņu, kas joprojām izmanto sabojāto AFNetworking versiju, neskatoties uz to, ka ir pieejama plāksteris. SourceDNA analizēja 20 000 lietotņu, kurās ir AFNetworking pakotnes versijas, un noteica, ka aptuveni 1000 joprojām izmanto sabojātu SSL pārbaudi.

iphoneback

SourceDNA spēja veikt šo pārbaudi, izmantojot analītikas rīkus, kas ļauj analizēt tūkstošiem lietotņu bināros failus. Viņu tehnoloģija ļauj viņiem noteikt ne tikai to, kurās bibliotēkās šīs lietotnes tika apkopotas, bet kuras versijas no šīm bibliotēkām. Kā izrādās, tas ir neticami noderīgi, lai identificētu, kuras lietotnes var ietekmēt zināmās kļūdas un ievainojamības. Saskaņā ar izdoto rakstu

“SourceDNA no viņiem izveidoja diferencētu pirkstu nospiedumu, lai atrastu neaizsargāto kodu. Padomājiet par to kā unikālu īpašību kopumu, kas bija vai nebija tikai mērķa versijā, nevis kā citi pirms vai pēc tā. Izmantojot šo parakstu kopu, mūsu analīzes programma precīzi pateiks, kura AFNetworking versija tika izmantota katrā lietotnē.

Daudzas no ietekmētajām lietotnēm glabā un pārsūta lietotāja kredītkartes datus, tostarp Alibaba.com mobilā lietotne, KYBankAgent 3.0, un Revo restorāna tirdzniecības vieta. Vairākiem miljoniem lietotāju iOS ierīcē ir instalēta neaizsargāta lietotne - pārsteidzošs ekspozīcijas apjoms, ko rada šāda īsa kļūda.

“5% jeb apmēram 1000 lietotņu bija kļūda. Vai šīs lietotnes ir svarīgas? Mēs tos salīdzinājām ar mūsu ranga datiem un atradām lielus spēlētājus: Yahoo!, Microsoft, Uber, Citrix utt. Tas mūs pārsteidz, ka atklātā pirmkoda bibliotēka, kas atklāja drošības trūkumu tikai 6 nedēļas, tika atklāta miljoniem lietotāju uzbrukumam. ”

Ietekmes novērtēšana AFNetworking kļūda

Cik slikta ir šī ievainojamība? Kļūda ļauj uzbrucējiem maldināt lietotnes, domājot, ka viņi sazinās, izmantojot drošu savienojumu ar uzticamu serveri. Ja izmantojat neaizsargātu lietotni, ikviens tajā pašā WiFi tīklā, kurā varat iestatīt a cilvēks uzbrukumā Kas ir uzbrukums vīrietim? Drošības žargons paskaidrotsJa esat dzirdējis par uzbrukumiem “vidusdaļā”, bet neesat pārliecināts, ko tas nozīmē, šis ir raksts jums. Lasīt vairāk un pārtvert informāciju no lietotnēm, ieskaitot sensitīvus datus, piemēram, kredītkartes informāciju. Pēc tam šo informāciju varētu izmantot, lai atvieglotu identitātes zādzība 6 brīdinājuma zīmes par digitālās identitātes zādzībām, kuras nevajadzētu ignorētIdentitātes zādzības mūsdienās nav pārāk reti sastopamas, tomēr mēs bieži nonākam lamatās, domājot, ka tas vienmēr notiks ar “kādu citu”. Neignorējiet brīdinājuma zīmes. Lasīt vairāk un citi krāpšanas veidi. Iespējams, ka šāda veida uzbrukums varētu tikt automatizēts, lai mērķētu uz populārām lietotnēm.

081203-N-2147L-390

Kopš šo ziņu izplatīšanas vairāki uzņēmumi ir steiguši atjauninājumus un labojumus, tostarp Microsoft un Yahoo. Tomēr lielākā daļa lietotņu joprojām nav pieejamas. Lai redzētu, vai tiek ietekmētas jūsu izmantotās lietotnes, varat izmantot meklēšanas rīku SourceDNA. Ja atklājat, ka kāda no jūsu lietotnēm joprojām ir neaizsargāta, drošākā stratēģija ir īslaicīgi to izdzēst un ziņojiet izstrādātājiem, lūdzot viņiem pēc iespējas ātrāk izvietot plāksteri.

SourceDNA ir gudrs rīks, un tas parāda, ka viņu tehnoloģija ir patiesi noderīga. Datoru drošība ir sarežģīta, un rīks, kas var automatizēt vēl nepieredzētu kļūdu meklēšanu - ar vai bez izstrādātāju sadarbības - ir milzīgs ieguvums lietotāju drošībai. Bez šāda veida pārbaudes šī plaši izplatītā kļūda būtu pastāvējusi, iespējams, diezgan ilgu laiku. Šāda veida analīze ļauj masveidā publiski kaunināt, kas padara izstrādātājus daudz atbildīgākus, un šķiet iespējams, ka SourceDNA atklās vēl neatklātas un neatrisinātas problēmas.

Vai jūsu iOS ierīci ietekmē AFNetworking kļūda? Vai jūs aizrauj šie jaunie analītikas rīki? Paziņojiet mums komentāros!

Attēlu kredītpunkti: “ASV Jūras spēku kiberkarš”,“ IPhone priekšpusē ”iPhone kamera“, Autors Wikimedia

Rakstnieks un žurnālists, kas atrodas dienvidrietumos, Andre ir garantēts, ka tas joprojām darbosies līdz 50 grādiem pēc Celsija un ir ūdensizturīgs līdz divpadsmit pēdu dziļumam.