Мир: Около 1500 iOS-приложений содержат опасную уязвимость, компрометирующую HTTPS-соединение

0

По данным аналитического сервиса SourceDNA, около 1500 приложений для iPhone и iPad, доступных в настоящее время в App Store, содержат опасную уязвимость, которая компрометирует HTTPS-соединение, тем самым существенно повышая риск кражи чувствительной информации личного характера хакерами.


По словам аналитиков SourceDNA, уязвимость содержится в устаревшей версии сетевой библиотеки с открытым исходным кодом AFNetworking. С тех пор библиотека получила соответствующий патч с исправлением данной уязвимости, но многие приложение продолжают использовать старую небезопасную версию библиотеки AFNetworking. “Мы тестировали приложение на коммерческом устройстве и неожиданно обнаружили, что защищенный SSL-трафик можно методично перехватывать посредством прокси-серверов вроде Burp без применения дополнительных инструментов”, – сообщили в марте исследователи Симоне Бови и Мауро Джентайл.

Важно отметить, что данная уязвимость не компрометирует систему безопасности в целом. Она создает проблемы только в том случае, если запущено уязвимое приложение и подвергает риску кражи только ту информацию, которая проходит через данное приложение. Иначе говоря, если на устройстве запущено приложение Alibaba.com, которое содержит уязвимость, только данные, отправленные посредством данного приложения будут для хакеров легкой добычей; информация, отправленная с помощью, к примеру, приложения eBay или веб-сайта Amazon будет находиться в полной безопасности.

Специалисты SourceDNA проанализировали двоичный код каждого бесплатного приложения, а также 5 тыс. самых популярных платных приложений App Store. На основе результатов исследования был составлен список уязвимых приложений. Компания также выпустиласпециальный онлайн-инструмент для проверки iOS-приложений на предмет содержания данной уязвимости. К счастью, их усилия не были напрасны, и разработчики обратили внимание на существование проблемы. Впрочем, на данный момент около 1,5 тыс приложений по-прежнему являются уязвимыми. (Новости/NovostIT)