Mainos

SourceDNA, koodianalyysialusta, joka tarkastaa Android- ja iOS-sovelluksia, julkaisi äskettäin raportin, josta ilmenee että yli 1 000 iOS-sovelluksessa on vakava tietoturva haavoittuvuus, joka voi vaarantaa käyttäjän taloudellisen tilanteen yksityiskohdat.

Vika estää sovelluksia todentamasta oikein SSL-varmenteet Mikä on SSL-varmenne ja tarvitsetko sitä?Internetin selaaminen voi olla pelottavaa, kun kyse on henkilökohtaisista tiedoista. Lue lisää , avaamalla sovellukset useille ihmisten keskelle -hyökkäyksille. Tämä sovellus ei vaikuta itsensä iOS-tietoturva Älypuhelimien suojaus: Voivatko iPhone saada haittaohjelmia?Haittaohjelmat, jotka vaikuttavat "tuhansiin" iPhoneihin, voivat varastaa App Store -käyttäjätiedot, mutta suurin osa iOS-käyttäjistä on täysin turvassa - joten mitä tekemistä iOS: n ja roistojen kanssa? Lue lisää , se voi vaarantaa vaikutusalaan kuuluvien sovellusten kautta välitetyt käyttäjätiedot ...

Yksinkertainen virhe, joka katkaisee SSL: n

iphonefront

kyseinen vika on AFNetworking-paketissa, suositus avoimen lähdekoodin verkkoratkaisu, jota käytetään tuhansissa App Store -sovelluksissa. Vika on yksinkertainen logiikkavirhe, joka estää SSL-tarkistuksen tosiasiallisen tapahtumisen ja palauttaa kaikki varmennetarkistukset kelvollisiksi. Tämä ei ole niin suuri turvallisuuskatastrofi kuin

heartbleed-haavoittuvuus Sydämen syke - Mitä voit tehdä pysyäksesi turvassa? Lue lisää tai shellshock Pahempaa kuin sydämen syke? Meet ShellShock: Uusi tietoturvauhka OS X: lle ja Linuxille Lue lisää - mutta se on ongelma, jos käytät sovellusta, joka sisältää virheen. Onneksi vika oli olemassa vain noin kuusi viikkoa, lisättiin kohtaan 2.5.1 ja korjattiin kohtaan 2.5.2. Saatat kohtuudella olettaa, että se on tarinan loppu.

Valitettavasti ei.

Valitettavasti monet kehittäjät eivät pidä sovelluksiaan aktiivisesti ajan tasalla virhekorjauksilla, ja on olemassa joukko sovelluksia, jotka käyttävät edelleen AFNetworkingin rikki-versiota huolimatta siitä, että paikata. SourceDNA analysoi 20 000 sovellusta, jotka sisältävät AFNetworking-paketin versioita, ja totesi, että noin 1 000 käyttää edelleen rikkinäistä SSL-tarkistusta.

iphoneback

SourceDNA pystyi suorittamaan tämän tarkistuksen analysointityökaluilla, jotka mahdollistavat tuhansien sovellusten binaaritiedostojen analysoinnin. Heidän tekniikansa ansiosta he eivät voi tunnistaa vain sitä, mihin kirjastoihin nämä sovellukset on koottu, mutta myös mihin versiot näistä kirjastoista. Kuten osoittautuu, tämä on uskomattoman hyödyllinen sen tunnistamisessa, mihin sovelluksiin tunnetut virheet ja haavoittuvuudet voivat vaikuttaa. Julkaisun mukaan

”SourceDNA loi heistä differentiaalisen sormenjäljen haavoittuvan koodin löytämiseksi. Ajattele tätä ainutlaatuisina ominaisuuksina, jotka olivat olemassa tai puuttuivat vain kohdennetussa versiossa, eivätkä muut ennen tai jälkeen sen. Tämän allekirjoitusjoukon avulla analyysimoottorimme kertoo meille tarkalleen, mikä AFNetworking-versio oli käytössä jokaisessa sovelluksessa.

Monet sovelluksista, joita asia koskee, tallentavat ja lähettävät käyttäjän luottokorttitietoja, mukaan lukien Alibaba.com-mobiilisovellus, KYBankAgent 3.0ja Revo-ravintolan myyntipiste. Useilla miljoonilla käyttäjillä on iOS-laitteeseensa asennettu haavoittuva sovellus - hämmästyttävä määrä altistumista tällaisesta lyhyestä virheestä.

”5 prosentilla tai noin 1 000 sovelluksella oli virhe. Ovatko nämä sovellukset tärkeitä? Vertailimme niitä sijoitustietoihimme ja löysimme joitain suuria pelaajia: Yahoo!, Microsoft, Uber, Citrix jne. Se hämmästyttää meitä siitä, että avoimen lähdekoodin kirjasto, joka aiheutti tietoturvavirheen vain 6 viikkoa, paljastettiin miljoonia käyttäjien hyökätä. ”

Arviointi ohjelman vaikutuksista AFNetworking Bug

Kuinka paha tämä haavoittuvuus on? Vika antaa hyökkääjien huijata sovelluksia ajattelemaan, että he kommunikoivat turvallisen yhteyden kautta luotettavan palvelimen kanssa. Jos käytät haavoittuvaa sovellusta, kuka tahansa samassa WiFi-verkossa kuin voit perustaa ihminen keskellä-hyökkäys Mikä on keskellä oleva hyökkäys? Turvallisuusrgongi selitettyJos olet kuullut keskitason ihmisten hyökkäyksistä, mutta et ole aivan varma, mitä tämä tarkoittaa, tämä on artikkeli sinulle. Lue lisää ja sieppata sovellusten tiedot, mukaan lukien arkaluontoiset tiedot, kuten luottokorttitiedot. Tätä tietoa voitaisiin sitten käyttää helpottamaan henkilöllisyysvarkaus 6 Varoitusmerkkejä digitaalisesta henkilöllisyysvarkaudesta, jota ei tule sivuuttaaHenkilöllisyysvarkaudet eivät ole liian harvinaisia ​​näinä päivinä, mutta joudumme usein siihen ansaan ajattelemalla, että se tapahtuu aina "jollekin muulle". Älä sivuuta varoitusmerkkejä. Lue lisää ja muut petokset. Mahdollisesti tällainen hyökkäys voidaan automatisoida kohdistamaan suosittuja sovelluksia.

081203-N-2147L-390

Useat yritykset, mukaan lukien Microsoft ja Yahoo, ovat kiirehtineet päivityksiä ja korjauksia uutisten julkaisun jälkeen. Suurin osa sovelluksista on kuitenkin edelleen käyttämättä. Käytä SourceDNA-hakutyökalua nähdäksesi, vaikuttaako käytettyihin sovelluksiin. Jos huomaat, että jokin sovelluksistasi on edelleen haavoittuvainen, turvallisin strategia on poistaa se väliaikaisesti ja viesti kehittäjille, että he kehottavat lähettämään korjaustiedoston mahdollisimman pian.

SourceDNA on fiksu työkalu, ja tämä osoittaa heidän tekniikansa olevan todella hyödyllinen. Tietoturva on vaikeaa, ja työkalu, joka voi automatisoida lähettämättömien virheiden etsimisprosessin - joko kehittäjän yhteistyön kanssa tai ilman - on valtava voitto käyttäjien tietoturvalle. Ilman tällaista tarkistusta tämä laajalle levinnyt virhe olisi pysynyt, todennäköisesti melko kauan. Tällainen analyysi mahdollistaa julkisen massamiehityksen, joka tekee kehittäjistä paljon vastuullisempia, ja näyttää todennäköiseltä, että SourceDNA paljastaa edelleen havaitsemattomat ja ratkaisemattomat ongelmat.

Vaikuttaako AFNetworking-virhe virhe iOS-laitteeseen? Oletko innostunut näistä uusista analytiikkatyökaluista? Kerro meille kommenteista!

Kuvahyvitykset: “Yhdysvaltain laivaston kybersota, ”IPhone edessä”iPhone-kamera”, Kirjoittanut Wikimedia

Kirjailija ja toimittaja, joka sijaitsee Lounaisosassa, Andre takuuvarmasti pysyy toiminnassa 50 celsiusasteeseen saakka ja on vesitiivis kahdentoista jalkan syvyyteen asti.