1.000 εφαρμογές iOS έχουν Crippling SSL Bug: Πώς να ελέγξετε εάν είστε επηρεασμένοι

Το σφάλμα AFNetworking δίνει προβλήματα στους χρήστες iPhone και iPad, με 1000s εφαρμογών που φέρουν ένα θέμα ευπάθειας με αποτέλεσμα να πιστοποιούνται σωστά τα πιστοποιητικά SSL, ενδεχομένως διευκολύνοντας την κλοπή ταυτότητας με επιθέσεις από τον άνθρωπο στη μέση.

Το σφάλμα AFNetworking δίνει προβλήματα στους χρήστες iPhone και iPad, με 1000s εφαρμογών που φέρουν ένα θέμα ευπάθειας με αποτέλεσμα να πιστοποιούνται σωστά τα πιστοποιητικά SSL, ενδεχομένως διευκολύνοντας την κλοπή ταυτότητας με επιθέσεις από τον άνθρωπο στη μέση.
Διαφήμιση

Το SourceDNA, πλατφόρμα analytics που ελέγχει τις εφαρμογές Android και iOS, δημοσίευσε πρόσφατα μια αναφορά που αναφέρει ότι περισσότερες από 1.000 εφαρμογές iOS έχουν σοβαρή ευπάθεια ασφαλείας που θα μπορούσε να θέσει σε κίνδυνο τις οικονομικές λεπτομέρειες του χρήστη.

Το σφάλμα εμποδίζει τις εφαρμογές να πιστοποιούν σωστά τα πιστοποιητικά SSL Τι είναι ένα πιστοποιητικό SSL και χρειάζεστε ένα; Τι είναι ένα πιστοποιητικό SSL και χρειάζεστε ένα; Η περιήγηση στο Internet μπορεί να είναι τρομακτική όταν εμπλέκονται προσωπικές πληροφορίες. Διαβάστε περισσότερα, ανοίγοντας τις εφαρμογές μέχρι και μερικές επιθέσεις από τον άνθρωπο στη μέση. Ενώ αυτή η εφαρμογή δεν επηρεάζει την ασφάλεια του iOS η ίδια Smartphone Ασφάλεια: Μπορεί iPhones Get Malware; Ασφάλεια Smartphone: Μπορούν τα iPhones να αποκτήσουν κακόβουλο λογισμικό; Το κακόβουλο λογισμικό που επηρεάζει "χιλιάδες" iPhones μπορεί να κλέψει τα διαπιστευτήρια App Store, αλλά η πλειοψηφία των χρηστών iOS είναι απόλυτα ασφαλής - έτσι τι είναι η συμφωνία με το iOS και το λογισμικό απατεώνων; Διαβάστε περισσότερα, θα μπορούσε να θέσει σε κίνδυνο τα δεδομένα χρήστη που μεταδίδονται μέσω των εφαρμογών που επηρεάζονται ...

Ένα απλό σφάλμα που σπάει το SSL

iphonefront

Το εν λόγω σφάλμα βρίσκεται στο πακέτο AFNetworking, μια δημοφιλής λύση δικτύωσης ανοικτού κώδικα που χρησιμοποιείται σε χιλιάδες εφαρμογές App Store. Το σφάλμα είναι ένα απλό λογικό σφάλμα που σταματά να πραγματοποιείται ο έλεγχος SSL, επιστρέφοντας όλους τους ελέγχους πιστοποιητικών ως έγκυρους. Αυτό δεν είναι μια τεράστια καταστροφή ασφαλείας όπως το HeartBleed Heartbleed - Τι μπορείτε να κάνετε για να μείνετε ασφαλείς; Heartbleed - Τι μπορείτε να κάνετε για να μείνετε ασφαλείς; Διαβάστε περισσότερα ή ShellShock χειρότερα από Heartbleed; Γνωρίστε ShellShock: Μια νέα απειλή ασφάλειας για OS X και Linux χειρότερα από Heartbleed; Γνωρίστε τη ShellShock: Μια νέα απειλή ασφάλειας για το OS X και το Linux Διαβάστε περισσότερα - αλλά είναι ένα πρόβλημα αν χρησιμοποιείτε μια εφαρμογή που περιέχει το σφάλμα. Ευτυχώς, το σφάλμα υπήρχε μόνο για περίπου έξι εβδομάδες, προστέθηκε στο 2.5.1 και σταθεροποιήθηκε στο 2.5.2. Μπορείτε λογικά να υποθέσετε ότι είναι το τέλος της ιστορίας.

Δυστυχώς όχι.

Δυστυχώς, πολλοί προγραμματιστές δεν διατηρούν ενεργά τις εφαρμογές τους ενημερωμένες με διορθώσεις σφαλμάτων και υπάρχει μια δέσμη εφαρμογών που εξακολουθούν να χρησιμοποιούν τη σπασμένη έκδοση του AFNetworking, παρά τη διαθεσιμότητα ενός κώδικα. Το SourceDNA ανάλυσε 20.000 εφαρμογές που περιέχουν εκδόσεις του πακέτου AFNetworking και διαπίστωσε ότι περίπου 1.000 εξακολουθούν να χρησιμοποιούν τον σπασμένο έλεγχο SSL.

iphoneback

Το SourceDNA μπόρεσε να πραγματοποιήσει αυτόν τον έλεγχο χρησιμοποιώντας εργαλεία ανάλυσης που καθιστούν δυνατή την ανάλυση των δυαδικών αρχείων χιλιάδων εφαρμογών. Η τεχνολογία τους τους επιτρέπει να εντοπίζουν όχι μόνο ποιες βιβλιοθήκες έχουν επεξεργαστεί αυτές οι εφαρμογές, αλλά ποιες εκδόσεις αυτών των βιβλιοθηκών. Όπως αποδεικνύεται, αυτό είναι εξαιρετικά χρήσιμο για τον εντοπισμό των εφαρμογών που μπορεί να επηρεαστούν από γνωστά σφάλματα και τρωτά σημεία. Σύμφωνα με το δημοσίευμα,

"Το SourceDNA δημιούργησε ένα διαφορικό αποτύπωμα από αυτά για να βρει τον ευάλωτο κώδικα. Σκεφτείτε αυτό ως ένα σύνολο μοναδικών χαρακτηριστικών που υπήρχαν ή απουσίαζαν μόνο στην στοχευμένη έκδοση και όχι άλλα πριν ή μετά. Με αυτό το σύνολο υπογραφών, ο μηχανισμός ανάλυσης μας θα μας έλεγε ακριβώς ποια έκδοση του AFNetworking ήταν σε χρήση σε κάθε εφαρμογή. "

Πολλές από τις εφαρμογές που επηρεάζονται αποθηκεύουν και μεταφέρουν δεδομένα πιστωτικών καρτών χρηστών, συμπεριλαμβανομένης της εφαρμογής για κινητά Alibaba.com, του KYBankAgent 3.0 και του Revo Restaurant Point of Sale. Αρκετά εκατομμύρια χρήστες έχουν εγκαταστήσει μια ευάλωτη εφαρμογή στη συσκευή iOS τους - ένα εκπληκτικό ποσό έκθεσης από ένα τόσο σύντομο σφάλμα.

"5% ή περίπου 1.000 εφαρμογές είχαν το ελάττωμα. Είναι αυτές οι εφαρμογές σημαντικές; Τους συγκρίνουμε με τα δεδομένα της κατάταξης και βρήκαμε κάποιους μεγάλους παίκτες: Yahoo !, Microsoft, Uber, Citrix κ.λπ. Με εκπλήσσει ότι μια βιβλιοθήκη ανοιχτού κώδικα που εισήγαγε ένα ελάττωμα ασφαλείας για μόλις 6 εβδομάδες, έδειξε εκατομμύρια χρήστες να επιτεθούν.

Αξιολόγηση των επιπτώσεων του σφάλματος AFNetworking

Πόσο κακή είναι αυτή η ευπάθεια; Το σφάλμα επιτρέπει στους επιτιθέμενους να ξεγελάσουν τις εφαρμογές να σκεφτούν ότι επικοινωνούν μέσω ασφαλούς σύνδεσης με έναν αξιόπιστο εξυπηρετητή. Εάν χρησιμοποιείτε μια ευάλωτη εφαρμογή, ο καθένας στο ίδιο δίκτυο WiFi, όπως μπορείτε να ρυθμίσετε μια επίθεση στον άνθρωπο στη μέση Τι είναι η επίθεση του ανθρώπου στη μέση; Ασφάλεια Jargon Επεξήγηση Τι είναι ένας άνθρωπος-στη-μέση επίθεση; Ασφάλεια Jargon Επεξήγηση Αν έχετε ακούσει για τις επιθέσεις "άνθρωπος-στη-μέση" αλλά δεν είστε σίγουροι τι σημαίνει αυτό, αυτό είναι το άρθρο για εσάς. Διαβάστε περισσότερα και παρακολουθήστε τις πληροφορίες από τις εφαρμογές, συμπεριλαμβανομένων ευαίσθητων δεδομένων όπως οι πληροφορίες πιστωτικών καρτών. Αυτές οι πληροφορίες θα μπορούσαν στη συνέχεια να χρησιμοποιηθούν για τη διευκόλυνση της κλοπής ταυτότητας 6 Προειδοποιητικά σημάδια της κλοπής ψηφιακών ταυτοτήτων Δεν πρέπει να αγνοήσετε 6 Προειδοποιητικά σημάδια της κλοπής ψηφιακής ταυτότητας Δεν πρέπει να αγνοήσετε Κλοπή ταυτότητας δεν είναι πολύ σπάνια από ένα περιστατικό αυτές τις μέρες, πέστε στην παγίδα της σκέψης ότι θα συμβεί πάντα σε "κάποιον άλλο". Μην αγνοείτε τα προειδοποιητικά σήματα. Διαβάστε περισσότερα και άλλες μορφές απάτης. Ενδεχομένως, αυτό το είδος επίθεσης θα μπορούσε να αυτοματοποιηθεί για να στοχεύσει δημοφιλείς εφαρμογές.

081203-Ν-2147L-390

Ορισμένες εταιρείες έχουν βιάσει ενημερώσεις και διορθώσεις από την είδηση ​​έσπασε, συμπεριλαμβανομένων των Microsoft και Yahoo. Οι περισσότερες από τις εφαρμογές, ωστόσο, παραμένουν αμετάβλητες. Για να δείτε αν επηρεάζονται οι εφαρμογές που χρησιμοποιείτε, μπορείτε να χρησιμοποιήσετε το εργαλείο αναζήτησης SourceDNA. Αν ανακαλύψετε ότι μια από τις εφαρμογές σας εξακολουθεί να είναι ευάλωτη, η ασφαλέστερη στρατηγική είναι να τη διαγράψετε προσωρινά και να ενημερώσετε τους προγραμματιστές να τους ζητήσουν να βγάλουν μια ενημερωμένη έκδοση κώδικα το συντομότερο δυνατό.

Το SourceDNA είναι ένα έξυπνο εργαλείο και αυτό αποδεικνύει ότι η τεχνολογία είναι πραγματικά χρήσιμη. Η ασφάλεια των υπολογιστών είναι δύσκολη και ένα εργαλείο που μπορεί να αυτοματοποιήσει τη διαδικασία αναζήτησης ανεπιθύμητων σφαλμάτων - με ή χωρίς συνεργασία προγραμματιστών - είναι μια τεράστια νίκη για την ασφάλεια των χρηστών. Χωρίς αυτό το είδος ελέγχου, αυτό το εκτεταμένο σφάλμα θα είχε επιμείνει, πιθανώς για πολύ καιρό. Αυτό το είδος ανάλυσης καθιστά δυνατή τη μαζική δημόσια απογοήτευση που κάνει τους προγραμματιστές πολύ πιο υπεύθυνοι και φαίνεται πιθανό ότι το SourceDNA θα αποκαλύψει περαιτέρω αδιευκρίνιστα και άλυτα προβλήματα.

Μήπως η συσκευή σας iOS επηρεάζεται από το σφάλμα AFNetworking; Είστε ενθουσιασμένοι από αυτά τα νέα εργαλεία ανάλυσης; Ενημερώστε μας στα σχόλια!

Πιστωτικές εικονογραφήσεις: "US Navy Cyberwarfare", "iPhone μπροστά, " κάμερα iPhone ", από το Wikimedia

In this article