Gabriel Brooks
0 
3968
1106
SourceDNA, platforma za analizu koda koja pregledava Android i iOS aplikacije, nedavno je objavila izvještaj u kojem se navodi da više od 1.000 iOS aplikacija ima ozbiljnu sigurnosnu ranjivost koja bi mogla ugroziti financijske detalje korisnika.
Program za pogrešku sprječava da aplikacije provjere autentičnost SSL certifikata Što je SSL certifikat, a treba li vam jedan? Što je SSL certifikat, a treba li vam? Pregledavanje Interneta može biti zastrašujuće kada su u pitanju osobni podaci. , otvarajući aplikacije do brojnih napada "man-in-middle". Iako ova aplikacija ne utječe na sigurnost samog iOS-a Sigurnost pametnih telefona: Mogu li iPhonei dobiti zlonamjerni softver? Sigurnost pametnih telefona: Mogu li iPhone uređaji dobiti zlonamjerni softver? Zlonamjerni softver koji utječe na "tisuće" iPhonea može ukrasti vjerodajnice App Store-a, no većina korisnika iOS-a potpuno je sigurna - pa što je s iOS-om i rogue softverom? , to može ugroziti korisničke podatke koji se prenose putem pogođenih aplikacija ...
Jednostavan bug koji razbija SSL
Smetnja je u paketu AFNetworking, popularnom mrežnom rješenju otvorenog koda, koje se koristi u tisućama aplikacija App Store. Bug je jednostavna logička pogreška koja zaustavlja provjeru SSL-a da se zapravo odvija i vraća sve provjere certifikata kao valjane. Ovo nije masivna sigurnosna katastrofa poput Heartbleed-a - Što možete učiniti da ostanete sigurni? Srčano srce - što možete učiniti da ostanete sigurni? ili ShellShock gori od srca? Upoznajte ShellShock: Nova prijetnja sigurnosti za OS X i Linux gora od srca? Upoznajte ShellShock: Nova prijetnja sigurnosti za OS X i Linux - ali problem je ako koristite aplikaciju koja sadrži bug. Srećom, bug je postojao samo oko šest tjedana, dodan je u 2.5.1 i popravljen je u 2.5.2. Moglo bi se pretpostaviti da je to kraj priče.
Nažalost ne.
Nažalost, mnogi programeri ne ažuriraju svoje aplikacije aktivno pomoću ispravki programskih pogrešaka, a postoji i hrpa aplikacija koje i dalje koriste pokvarenu verziju AFNetworkinga, unatoč dostupnosti zakrpe. SourceDNA je analizirala 20.000 aplikacija koje sadrže verzije paketa AFNetworking i utvrdila da oko 1000 i dalje koristi pokvareni SSL ček.
SourceDNA je uspjela izvršiti ovu provjeru pomoću analitičkih alata koji omogućuju analizu binarnih datoteka tisuća aplikacija. Njihova tehnologija omogućava im prepoznavanje ne samo s kojim knjižnicama su te aplikacije sastavljene, već i koje verzije od tih knjižnica. Kako se ispostavilo, ovo je nevjerojatno korisno za prepoznavanje na koje aplikacije mogu utjecati poznati bugovi i ranjivosti. Prema objavljenom radu,
“SourceDNA je stvorila različiti otisak prsta od njih kako bi pronašla ranjivi kod. Zamislite ovo kao skup jedinstvenih karakteristika koje su bile prisutne ili odsutne samo u ciljanoj verziji, a ne bilo kojoj drugoj prije ili poslije nje. Pomoću ovog skupa potpisa naš će analizator točno reći koja se inačica AFNetworkinga koristi u svakoj aplikaciji. “
Mnoge pogođene aplikacije pohranjuju i prenose podatke o kreditnim karticama korisnika, uključujući mobilnu aplikaciju Alibaba.com, KYBankAgent 3.0 i prodajno mjesto Revo restorana. Nekoliko milijuna korisnika na svom iOS uređaju instalira ranjivu aplikaciju - zadivljujuća količina izlaganja iz tako kratke pogreške.
“5% ili oko 1.000 aplikacija imalo je nedostatak. Jesu li te aplikacije važne? Usporedili smo ih s našim podacima o rangu i pronašli nekoliko velikih igrača: Yahoo !, Microsoft, Uber, Citrix, itd. Iznenađuje nas da je izložena biblioteka otvorenog koda koja je uvela sigurnosni propust za samo 6 tjedana milijuni korisnika da napadaju.”
Procjena utjecaja greške AFNetworkinga
Koliko je loša ta ranjivost? Bug omogućava napadačima da zavaraju aplikacije misleći da komuniciraju preko sigurne veze s pouzdanim serverom. Ako koristite ranjivu aplikaciju, bilo tko na istoj WiFi mreži kao i vi možete postaviti napad "Čovjek u sredini" Što je napad Čovjek u sredini? Sigurnosni žargon objasnio što je napad Čovjek u sredini? Objašnjen sigurnosni žargon Ako ste čuli za napade "čovjeka u sredini", ali niste baš sigurni što to znači, ovo je članak za vas. i presretanje informacija iz aplikacija, uključujući osjetljive podatke poput podataka o kreditnoj kartici. Te informacije bi se zatim mogle upotrijebiti za olakšavanje krađe identiteta. 6 Upozorenja o krađi digitalnog identiteta ne biste trebali zanemariti 6 Znakovi upozorenja da se krađa digitalnog identiteta ne bi trebala zanemariti, krađa identiteta nije previše rijetka pojava ovih dana, no često upadati u zamku razmišljanja da će se to uvijek dogoditi "nekome drugom". Ne zanemarujte znakove upozorenja. i druge oblike prijevara. Potencijalno bi takav napad mogao biti automatiziran za ciljanje popularnih aplikacija.
Mnoge su tvrtke ubrzale ažuriranja i ispravke od vijesti, uključujući Microsoft i Yahoo. Većina aplikacija, međutim, ostaje netaknuta. Ako želite utjecati na aplikacije koje koristite, možete koristiti SourceDNA alat za pretraživanje. Ako otkrijete da je jedna od vaših aplikacija još uvijek ranjiva, najsigurnija strategija je privremeno je obrisati i poručiti programerima da od njih zatraže da što prije uklone zakrpu.
SourceDNA je pametan alat, a to pokazuje da je njihova tehnologija zaista korisna. Računalna sigurnost je tvrda, a alat koji može automatizirati proces traženja neprimjerenih pogrešaka - sa ili bez suradnje programera - ogroman je dobitak za sigurnost korisnika. Bez ovakve provjere, ova bi raširena buba ustrajala, vjerojatno već dugo vremena. Ova vrsta analize omogućuje masovno javno sramoćenje koje programerima čini mnogo odgovornijima, a čini se da će SourceDNA otkriti daljnje neotkrivene i neriješene probleme.
Je li vaš iOS uređaj pogođen bugom AFNetworking? Jeste li uzbuđeni ovim novim analitičkim alatima? Javite nam se u komentarima!
Broj kredita: “Cyberwarfare američke mornarice,” “Prednja strana iPhonea, “iPhone kamera“, autor Wikimedia