Опасной уязвимости подвержены 25 тыс. iOS-приложений


iOSСпециалисты компании SourceDNA обнаружили серьезную брешь, связанную с процессом проверки подлинности цифровых сертификатов. Выявленная уязвимость затрагивает порядка 25 тыс. iOS-приложений.

Стоит напомнить, что это не первая уязвимость подобного рода. Около двух недель назад экспертами уже была обнаружена уязвимость в популярной библиотеке AFNetworking, позволяющая осуществить атаку "человек посередине".

Новая проблема, была выявлена всего через сутки после исправления первой. Оказалось, в AFNetworking установлен флаг, который по умолчанию отключает доменную верификацию. Т.е., уязвимое приложение без проблем примет любой валидный сертификат, который будут использоваться злоумышленником.

Интересно еще и то, что обнаруженная брешь содержится в той же части кода, что и предыдущая. Эксплуатируя данную уязвимость, злоумышленник может перехватывать персональные данные или SSL-соединения. А поскольку доменное имя не проверяется, то для осуществления атаки киберпреступнику лишь необходим подлинный SSL-сертификат любого web-сервера, который можно купить всего за $50.

Данная уязвимость уже устранена в версии AFNetworking 2.5.3.


Обновлено (29.04.2015 19:42)