Publicitate

SourceDNA, o platformă de analiză a codurilor care verifică aplicațiile Android și iOS, a lansat recent un raport care indică că peste 1.000 de aplicații iOS au o vulnerabilitate serioasă de securitate care ar putea compromite finanțarea unui utilizator Detalii.

Bug-ul împiedică aplicațiile să se autentifice corect Certificate SSL Ce este un certificat SSL și aveți nevoie de unul?Navigarea pe Internet poate fi înfricoșătoare atunci când sunt implicate informații personale. Citeste mai mult , deschizând aplicațiile până la o serie de atacuri între om. În timp ce această aplicație nu afectează securitatea iOS în sine Securitatea smartphone-urilor: iPhone-urile pot primi programe malware?Programele malware care afectează „mii” de iPhone pot fura acreditările din App Store, dar majoritatea utilizatorilor iOS sunt perfect în siguranță - deci care este problema cu iOS și software necinstit? Citeste mai mult , ar putea compromite datele utilizatorilor transmise prin aplicațiile afectate ...

instagram viewer

Un simplu bug care sparge SSL

iphonefront

bug în cauză se află în pachetul AFNetworking, o soluție populară de rețea open-source folosită în mii de aplicații App Store. Bug-ul este o eroare logică simplă care oprește verificarea SSL să aibă loc efectiv, returnând toate verificările certificatelor ca fiind valide. Acesta nu este un dezastru de securitate masiv, cum ar fi heartbleed Heartbleed - Ce poți face pentru a rămâne în siguranță? Citeste mai mult sau ShellShock Mai rău decât inimă? Faceți cunoștință cu ShellShock: o nouă amenințare de securitate pentru OS X și Linux Citeste mai mult - dar este o problemă dacă utilizați o aplicație care conține eroarea. Din fericire, eroarea a existat doar aproximativ șase săptămâni, adăugată în 2.5.1 și remediată în 2.5.2. Ați putea presupune în mod rezonabil că acesta este sfârșitul poveștii.

Din pacate, nu.

Din păcate, mulți dezvoltatori nu își țin activ aplicațiile la zi cu corecțiile de erori și există un o mulțime de aplicații care încă utilizează versiunea spartă a AFNetworking, în ciuda disponibilității unui plasture. SourceDNA a analizat 20.000 de aplicații care conțin versiuni ale pachetului AFNetworking și a stabilit că aproximativ 1.000 utilizează încă verificarea SSL spartă.

iphoneback

SourceDNA a putut efectua această verificare folosind instrumente de analiză care permit analiza fișierelor binare a mii de aplicații. Tehnologia lor le permite să identifice nu doar cu ce biblioteci au fost compilate aceste aplicații, ci cu care versiuni din acele biblioteci. După cum se dovedește, acest lucru este incredibil de util pentru identificarea aplicațiilor care pot fi afectate de bug-urile și vulnerabilitățile cunoscute. Potrivit lucrării lansate,

„SourceDNA a creat o amprentă diferențiată de la ei pentru a găsi codul vulnerabil. Gândiți-vă la acest lucru ca la un set de caracteristici unice care au fost prezente sau absente doar în versiunea vizată și nu alte persoane înainte sau după aceasta. Cu acest set de semnături, motorul nostru de analiză ne-ar spune exact ce versiune a AFNetworking a fost folosită în fiecare aplicație.

Multe dintre aplicațiile afectate stochează și transmit date despre cardurile de credit ale utilizatorilor, inclusiv Aplicația mobilă Alibaba.com, KYBankAgent 3.0, și Punctul de vânzare al restaurantului Revo. Câteva milioane de utilizatori au o aplicație vulnerabilă instalată pe dispozitivul lor iOS - o cantitate uimitoare de expunere la un astfel de bug.

„5% sau aproximativ 1.000 de aplicații au avut defectul. Sunt importante aceste aplicații? Le-am comparat cu datele din clasamentul nostru și am găsit câțiva jucători mari: Yahoo!, Microsoft, Uber, Citrix etc. Ne uimește faptul că o bibliotecă open-source care a introdus un defect de securitate de numai 6 săptămâni a fost expusă milioane a utilizatorilor să atace. ”

Evaluarea impactului AFNetworking Bug

Cât de proastă este această vulnerabilitate? Bug-ul permite atacatorilor să păcălească aplicațiile pentru a se gândi că comunică printr-o conexiune sigură cu un server de încredere. Dacă utilizați o aplicație vulnerabilă, oricine de pe aceeași rețea WiFi poate configura o atac de om în mijloc Ce este un atac împotriva omului în mijloc? Jargon de securitate explicatDacă ați auzit de atacuri „om-la-mijloc”, dar nu sunteți sigur ce înseamnă asta, acesta este articolul pentru dvs. Citeste mai mult și interceptați informațiile din aplicații, inclusiv date sensibile, cum ar fi informațiile despre cardul de credit. Aceste informații ar putea fi apoi utilizate pentru a facilita furt de identitate 6 semne de avertizare ale furtului de identitate digitală pe care nu ar trebui să le ignoriFurtul de identitate nu este prea rar apărut în aceste zile, cu toate acestea, adesea cădem în capcana gândirii că se va întâmpla întotdeauna cu „altcineva”. Nu ignorați semnele de avertizare. Citeste mai mult și alte forme de fraudă. În mod potențial, acest tip de atac ar putea fi automatizat pentru a viza aplicațiile populare.

081203-N-2147L-390

Mai multe companii au eliminat actualizările și remedierile de la apariția veștilor, inclusiv Microsoft și Yahoo. Totuși, majoritatea aplicațiilor rămân nepatrimate. Pentru a vedea dacă aplicațiile pe care le utilizați sunt afectate, puteți utiliza instrumentul de căutare SourceDNA. Dacă descoperiți că una dintre aplicațiile dvs. este încă vulnerabilă, cea mai sigură strategie este să o ștergeți temporar și să le transmiteți un mesaj dezvoltatorilor cerându-le să scoată un plasture cât mai curând posibil.

SourceDNA este un instrument inteligent, ceea ce demonstrează că tehnologia lor este cu adevărat utilă. Securitatea computerelor este grea, iar un instrument care poate automatiza procesul de căutare a unor buguri neatacate - cu sau fără cooperarea dezvoltatorilor - este un câștig imens pentru securitatea utilizatorului. Fără acest tip de verificare, acest bug răspândit ar fi persistat, probabil pentru o perioadă destul de lungă de timp. Acest tip de analiză permite rușinea publică în masă, care face ca dezvoltatorii să fie mult mai responsabili și se pare că SourceDNA va descoperi probleme neatârnate și nesoluționate.

Dispozitivul dvs. iOS este afectat de eroarea AFNetworking? Ești încântat de aceste noi instrumente de analiză? Spuneți-ne în comentarii!

Credite imagine: „Marea Britanie Cyberwarfare, ”„ Față iPhone, „Cameră iPhone„, De Wikimedia

Un scriitor și jurnalist cu sediul în sud-vestul, Andre este garantat să rămână funcțional până la 50 de grade Celcius și este rezistent la apă până la adâncimea de 12 metri.