Серьезный недостаток в безопасности около 1500 приложений для iOS делает их уязвимыми, позволяя злоумышленникам похищать пароли, номера банковских счетов и другие конфиденциальные данные. Такой вывод сделали специалисты компании SourceDNA.
Брешь, которую эксперты SourceDNA обнаружили в прошлом месяце, была устранена посредством обновления. Однако некоторые разработчики приложений все еще не устранили уязвимость. Брешь появилась с выходом в январе 2015 г. новой версии AFNetworking – библиотеки, которая позволяет разработчикам снизить сетевые возможности приложения. Уязвимость позволяет осуществить атаку “человек посередине” и дает злоумышленникам доступ к данным, зашифрованным при помощи протокола HTTPS.
Для эксплуатации бреши злоумышленнику потребуется просто заменить SSL-сертификат, который используется устройством с уязвимым ПО для соединения с интернетом. При нормальных условиях поддельные идентификационные данные будут сразу же обнаружены и соединение будет разорвано. Однако из-за логической ошибки в программном коде версии 2.5.1 проверка подлинности никогда не осуществляется. После обнаружения уязвимости специалисты SourceDNA проанализировали все 1,4 млн. программ в App Store для того, чтобы проверить, остались ли уязвимые продукты. Оказалось, что в некоторых популярных приложениях, в том числе в Movies by Flixter и Rotten Tomatoes, разработчики все еще не устранили брешь. (Apple/NovostIT)
