SourceDNA, en kodeanalyseplatform, der reviderer Android og IOS-apps, har for nylig udgivet en rapport, der viser, at mere end 1.000 iOS-apps har et alvorligt sikkerhedsproblem, der kan kompromittere en brugers finansielle detaljer.
Fejlen forhindrer apps i at godkende SSL-certifikater korrekt. Hvad er et SSL-certifikat, og har du brug for en? Hvad er et SSL-certifikat, og har du brug for en? Gennemse internettet kan være skræmmende, når personlige oplysninger er involveret. Læs mere, åbner applikationerne op til en række man-in-the-middle angreb. Mens denne app ikke påvirker sikkerheden for iOS selv Smartphone Security: Kan iPhones få skadelig software? Smartphone Security: Kan iPhones få skadelig software? Malware, der påvirker "tusinder" af iPhones, kan stjæle App Store-legitimationsoplysninger, men de fleste iOS-brugere er helt sikre - så hvad handler det med iOS og rogue-software? Læs mere, det kan kompromittere brugerdata, der sendes via berørte apps ...
En simpel fejl, der bryder SSL
Den pågældende fejl er i AFNetworking-pakken, en populær open source-netværksløsning, der bruges i tusindvis af App Store-apps. Fejlen er en simpel logisk fejl, der stopper SSL-tjekket fra faktisk at finde sted, og returnerer alle certifikatkontroller som gyldige. Dette er ikke en massiv sikkerhedskatastrofe som Heartbleed Heartbleed - hvad kan du gøre for at forblive trygt? Heartbleed - Hvad kan du gøre for at være sikker? Læs mere eller ShellShock værre end Heartbleed? Mød ShellShock: En ny sikkerhedsrisiko for OS X og Linux værre end Heartbleed? Mød ShellShock: En ny sikkerhedsrisiko for OS X og Linux Læs mere - men det er et problem, hvis du bruger en app, der indeholder fejlen. Heldigvis eksisterede bugten i kun ca. seks uger, tilsat i 2.5.1 og fikseres i 2.5.2. Du kan med rimelighed antage, at det er slutningen af historien.
Desværre ikke.
Desværre behøver mange udviklere ikke aktivt at holde deres apps opdateret med fejlrettelser, og der er en masse apps, der stadig bruger den brudte version af AFNetworking, på trods af tilgængeligheden af en patch. SourceDNA analyserede 20.000 apps, der indeholder versioner af AFNetworking-pakken, og fastslår, at ca. 1.000 stadig bruger den ødelagte SSL-check.
SourceDNA var i stand til at udføre denne kontrol ved hjælp af analytiske værktøjer, der gør det muligt at analysere binære filer fra tusindvis af apps. Deres teknologi lader dem identificere ikke blot hvilke biblioteker disse apps blev kompileret med, men hvilke versioner af disse biblioteker. Som det viser sig, er dette utroligt nyttigt til at identificere, hvilke apps der kan påvirkes af kendte fejl og sårbarheder. Ifølge papiret udgivet,
"SourceDNA oprettet et differentielt fingeraftryk fra dem for at finde den sårbare kode. Tænk på dette som et sæt af unikke egenskaber, der kun var til stede eller fraværende i den målrettede version og ikke nogen andre før eller efter den. Med dette sæt af underskrifter vil vores analysemotor fortælle os, hvilken version af AFNetworking der blev brugt i hver app. ”
Mange af de berørte apps gemmer og sender brugerkreditkortdata, herunder Alibaba.com-mobilappen, KYBankAgent 3.0 og Revo Restaurant Point of Sale. Flere millioner brugere har en sårbar app installeret på deres iOS-enhed - en forbløffende mængde eksponering fra en så kort fejl.
"5% eller ca. 1.000 apps havde fejlen. Er disse apps vigtige? Vi sammenlignede dem med vores rangdata og fandt nogle store spillere: Yahoo !, Microsoft, Uber, Citrix osv. Det forbløffer os, at et open source-bibliotek, der introducerede en sikkerhedsfejl i kun 6 uger, udsatte millioner af brugere til at angribe. "
Vurdering af virkningen af AFNetworking Bug
Hvor slemt er dette sårbarhed? Fejlen tillader angriberne at narre apps til at tro at de kommunikerer over en sikker forbindelse med en betroet server. Hvis du bruger en sårbar app, kan alle på samme WiFi-netværk, som du kan oprette et mellemmandangreb Hvad er et menneske-i-mellemangreb? Sikkerhedsjargon Forklaret Hvad er en Man-in-the-Middle Attack? Sikkerhedsjargon Forklaret Hvis du har hørt om "man-in-the-middle" angreb, men ikke helt sikker på hvad det betyder, er dette artiklen for dig. Læs mere og aflyt information fra apps, herunder følsomme data som kreditkortoplysninger. Disse oplysninger kan så bruges til at lette identitetstyveri 6 Advarselsskilte om digital identitetstyveri Du bør ikke ignorere 6 advarselsskilte om digital identitetstyveri Du bør ikke ignorere Identitetsstyveri er ikke så sjældent for en begivenhed i disse dage, men vi ofte falde i fælden for at tro, at det altid kommer til at ske med "nogen anden". Undgå at ignorere advarselsskilte. Læs mere og andre former for bedrageri. Potentielt kan denne form for angreb automatiseres til at målrette mod populære apps.
En række virksomheder har sprang ud opdateringer og rettelser siden nyheden brød, herunder Microsoft og Yahoo. De fleste apps er dog uændrede. For at se, om de apps, du bruger, påvirkes, kan du bruge SourceDNA-søgeværktøjet. Hvis du opdager, at en af dine apps stadig er sårbar, er den sikreste strategi at slette den midlertidigt, og meddeler udviklerne, at de beder dem om at lægge en patch så hurtigt som muligt.
SourceDNA er et smart værktøj, og dette viser, at deres teknologi er virkelig nyttig. Computer sikkerhed er svært, og et værktøj, der kan automatisere processen med at kigge efter upatchede bugs - med eller uden udvikler samarbejde - er en enorm gevinst for brugersikkerhed. Uden denne form for kontrol ville denne udbredte fejl have vedvaret, sandsynligvis i ganske lang tid. Denne form for analyse muliggør masse offentlig shaming, der gør udviklere meget mere ansvarlige, og det forekommer sandsynligt, at SourceDNA vil afdække yderligere uopdagede og uløste problemer.
Er din iOS-enhed berørt af AFNetworking-fejlen? Er du begejstret for disse nye analyseværktøjer? Lad os vide i kommentarerne!
Billedkreditter: "US Navy Cyberwarfare, " "iPhone front, " iPhone kamera ", af Wikimedia