76 приложений для iPhone и iPad позволяют перехватывать данные пользователей


iosГлавой ИБ-компании Sudo Security Group Уиллом Страфачем (Will Strafach) было обнаружено 76 приложений для iPhone и iPad, уязвимых к атакам, позволяющим перехватить данные.

Согласно заявлению Страфача, обнаруженные программы могут принимать недействительные TLS-сертификаты. Причиной являются ошибки в связанном с передачей данных коде программы. Напомним, протокол TLS используется для защиты информации, передаваемой приложением через интернет-соединение. Без него хакер может прослушивать трафик и перехватывать любые интересующие его данные, например, логины и пароли.

 

А вообще, подобные атаки может осуществить кто угодно, находящийся в зоне действия сети Wi-Fi, в тот момент, пока вы пользуетесь своим устройством. Атаки возможны в общественных местах или даже у вас дома, если атакующему удастся подобраться достаточно близко.

Проблема была обнаружена в 76 iOS-приложениях. Исследователь просканировал их с помощью разработанного его компанией сервиса verify.ly. Тестировались уязвимые программы на iPhone, работающим под управлением iOS 10. Используя прокси-сервер, эксперт успешно внедрил в соединение недействительный сертификат TLS.

По словам исследователя, 43 из 76 приложений представляют высокий и средний уровень риска, т.к. злоумышленник может перехватить передаваемые ими логины, пароли и токены. Еще 33 программы несут меньшую угрозу, поскольку позволяют перехватывать лишь электронные адреса.

Все 76 исследуемых приложений были загружены из магазина Apptopia 18 млн. раз. Разработчикам уже известно о проблеме.


Обновлено (08.02.2017 22:37)