Около 1500 приложений для iOS уязвимы к атакам злоумышленников


SourceDNAВ прошлом месяце экспертами SourceDNA была обнаружена брешь, которая позволяет злоумышленникам похищать пароли, номера банковских счетов и другие конфиденциальные данные. И хотя данная брешь была закрыта посредством обновления, тем не менее, около 1500 приложений для iOS все еще остаются уязвимы. Это связано с тем, что некоторые разработчики приложений все еще не устранили уязвимость.

Напомним, брешь появилась с выходом в январе 2015 года новой версии AFNetworking - библиотеки, позволяющей разработчикам снизить сетевые возможности приложения. Уязвимость позволяет злоумышленнику осуществить атаку "человек посередине", предоставляя им полный доступ к данным, зашифрованным при помощи протокола HTTPS.

Все, что необходимо злоумышленнику для эксплуатации бреши, так это просто заменить SSL-сертификат, который используется устройством с уязвимым ПО для соединения с интернетом. При нормальных условиях поддельные идентификационные данные будут сразу же обнаружены и соединение будет разорвано. Однако проверка подлинности никогда не осуществляется из-за логической ошибки в программном коде версии 2.5.1.

После обнаружения уязвимости специалистами SourceDNA было проанализировано около 1,5 млн программ в App Store с целью выявить оставшиеся уязвимые продукты. В результате оказалось, что в некоторых популярных приложениях, в том числе в Movies by Flixter и Rotten Tomatoes, брешь все еще не была устранена.


Обновлено (21.04.2015 22:12)