Joseph Goodman
0 
3346
507
SourceDNA, en kodeanalyseplatform, der reviderer Android- og iOS-apps, frigav for nylig en rapport, der viser, at mere end 1.000 iOS-apps har en alvorlig sikkerhedssårbarhed, der kan kompromittere en brugers økonomiske detaljer.
Fejlen forhindrer, at apps korrekt godkender SSL-certifikater Hvad er et SSL-certifikat, og har du brug for et? Hvad er et SSL-certifikat, og har du brug for et? Det kan være skræmmende at surfe på Internettet, når det drejer sig om personlige oplysninger. , åbner apps op til et antal angreb på midten af midten. Selvom denne app ikke påvirker selve iOS-sikkerheden Smartphone Security: Kan iPhones få malware? Smartphone-sikkerhed: Kan iPhones få malware? Malware, der påvirker "tusinder" af iPhones, kan stjæle App Store-legitimationsoplysninger, men størstedelen af iOS-brugere er helt sikre - så hvad er der med iOS og useriøs software? , kan det kompromittere brugerdata, der overføres via berørte apps ...
En simpel fejl, der bryder SSL
Den aktuelle fejl findes i AFNetworking-pakken, en populær open source-netværksløsning, der bruges i tusinder af App Store-apps. Fejlen er en simpel logisk fejl, der forhindrer, at SSL-kontrollen faktisk finder sted, og returnerer alle certifikatcheck som gyldige. Dette er ikke en massiv sikkerhedskatastrofe som HeartBleed Heartbleed - Hvad kan du gøre for at være sikker? Heartbleed - Hvad kan du gøre for at være sikker? eller ShellShock værre end heartbleed? Mød ShellShock: En ny sikkerhedstrussel for OS X og Linux værre end hjertefuld? Mød ShellShock: En ny sikkerhedstrussel til OS X og Linux - men det er et problem, hvis du bruger en app, der indeholder fejlen. Heldigvis eksisterede fejlen kun i ca. seks uger, tilføjet i 2.5.1 og rettet i 2.5.2. Du kan med rimelighed antage, at det er slutningen på historien.
Desværre ikke.
Desværre holder mange udviklere ikke aktivt deres apps opdaterede med fejlrettelser, og der er en masse apps, som stadig bruger den ødelagte version af AFNetworking på trods af tilgængeligheden af en patch. SourceDNA analyserede 20.000 apps, der indeholder versioner af AFNetworking-pakken, og bestemte, at omkring 1.000 stadig bruger den ødelagte SSL-check.
SourceDNA var i stand til at udføre denne kontrol ved hjælp af analyseværktøjer, der gør det muligt at analysere de binære filer i tusinder af apps. Deres teknologi giver dem mulighed for ikke kun at identificere, hvilke biblioteker disse apps blev kompileret med, men hvilke versioner af disse biblioteker. Som det viser sig, er dette utroligt nyttigt til at identificere, hvilke apps der kan blive påvirket af kendte fejl og sårbarheder. Ifølge frigivet papir,
“SourceDNA oprettede et differentielt fingeraftryk fra dem for at finde den sårbare kode. Tænk på dette som et sæt unikke egenskaber, der kun var til stede eller fraværende i den målrettede version og ikke nogen andre før eller efter den. Med dette sæt underskrifter ville vores analysemotor fortælle os nøjagtigt, hvilken version af AFNetworking der var i brug i hver app. “
Mange af de berørte apps gemmer og transmitterer brugerkreditkortsdata, herunder mobilappen Alibaba.com, KYBankAgent 3.0 og Revo Restaurant Point of Sale. Flere millioner brugere har en sårbar app installeret på deres iOS-enhed - en forbløffende mængde eksponering fra en sådan kort fejl.
“5% eller ca. 1.000 apps havde fejlen. Er disse apps vigtige? Vi sammenlignede dem med vores rangeringsdata og fandt nogle store spillere: Yahoo !, Microsoft, Uber, Citrix osv. Det forbløffer os, at et open source-bibliotek, der introducerede en sikkerhedsfejl i kun 6 uger blev udsat millioner af brugere, der skal angribe.”
Evaluering af virkningen af AFNetworking-bug
Hvor dårlig er denne sårbarhed? Fejlen tillader angribere at narre apps til at tro, at de kommunikerer via en sikker forbindelse med en betroet server. Hvis du bruger en sårbar app, er der nogen på det samme WiFi-netværk, som du kan oprette et mand-i-midten-angreb Hvad er et mand-i-midten-angreb? Sikkerheds jargon forklaret Hvad er et menneske i midten angreb? Sikkerheds jargon forklaret Hvis du har hørt om "mand-i-midten" -angreb, men ikke er helt sikker på, hvad det betyder, er dette artiklen for dig. og aflytte info fra apps, herunder følsomme data som kreditkortoplysninger. Disse oplysninger kan derefter bruges til at lette identitetstyveri 6 Advarselsskilte om digital identitetstyveri, du skal ikke ignorere 6 Advarselsskilte om digital identitetstyveri Du skal ikke ignorere Identitetstyveri er ikke for sjældent forekomst i disse dage, men vi ofte falde i den fælde at tænke, at det altid vil ske med "en anden". Ignorer ikke advarselsskiltene. og andre former for svig. Potentielt kunne denne form for angreb automatiseres til at målrette mod populære apps.
En række virksomheder har skyndt sig opdateringer og rettelser siden nyheden brød, inklusive Microsoft og Yahoo. De fleste af apps forbliver dog upåagtet. For at se, om de apps, du bruger, er berørt, kan du bruge SourceDNA-søgeværktøjet. Hvis du opdager, at en af dine apps stadig er sårbar, er den sikreste strategi at slette den midlertidigt og sende en meddelelse til udviklerne, der beder dem om at lægge en patch så hurtigt som muligt.
SourceDNA er et smart værktøj, og dette viser, at deres teknologi er virkelig nyttig. Computersikkerhed er hårdt, og et værktøj, der kan automatisere processen med at søge efter upålagte fejl - med eller uden udviklersamarbejde - er en enorm gevinst for brugersikkerhed. Uden denne form for kontrol, ville denne udbredte fejl have vedvaret, sandsynligvis i ganske lang tid. Denne form for analyse muliggør offentlig offentlig shaming, der gør udviklere meget mere ansvarlige, og det ser ud til, at SourceDNA vil afsløre yderligere uopdagede og uløste problemer.
Er din iOS-enhed påvirket af AFNetworking-bug? Er du begejstret over disse nye analyseværktøjer? Fortæl os det i kommentarerne!
Billedkreditter: “US Navy Cyberwarfare,” “iPhone foran, “iPhone kamera“, af Wikimedia