Десетки популярни приложения за iOS са уязвими да разпръснат вашите чувствителни данни чрез безшумни атаки „човек в средата“, според надежден експерт по мобилна сигурност.
По време на тестването Уил Страфах, един от първите, които отвориха хакерската платформа на iOS, откри 76 приложения, които са виновни за приемането на невалидни сертификати, които могат да бъдат използвани за прихващане на данни.
Сега Strafach е главен изпълнителен директор на Sudo Security Group, компания, специализирана в корпоративни решения за сигурност за iOS. Докато разработваше най-новия инструмент на компанията, услуга за анализ на приложения, Strafach сканира кода на приложенията за iOS „масово“, за да проучи често срещани проблеми.
Той се натъкна на „стотици“ приложения за iOS, които имат голяма вероятност за уязвимост за прихващане на данни. С допълнителни тестове, Strafach е потвърдил че 76 от тях могат да бъдат хакнати с помощта на невалиден TLS сертификат.
Някои от приложенията, които са уязвими, но представляват нисък риск за крайните потребители, ако техните данни бъдат прихванати, са Snap Upload за Snapchat, VICE News, Trading 212 Forex & Stock, Private Browser, Cheetah Browser и Code Scanner от ScanLife.
Strafach също така идентифицира уязвими приложения, които публикуват среден или висок риск за крайните потребители, но той дава възможност на разработчиците им да ги поправят, преди да публикуват списъка за 60 до 90 дни.
Притеснителното за тези уязвимости е, че те са блокирани от функцията за защита на транспорта на приложения, която е запечена в iOS. Освен това „този вид атака може да бъде извършена от всяка страна в обсега на Wi-Fi на вашето устройство, докато се използва“, казва Страфах.
„Това може да бъде навсякъде публично или дори в дома ви, ако нападателят може да се доближи до вас. Такава атака може да бъде извършена с помощта на персонализиран хардуер или леко модифициран мобилен телефон в зависимост от необходимия обхват и възможности. "
В миналото същата уязвимост е била идентифицирана в приложенията за iOS от Exsperian, Trend Micro, Citrix, Dell, Kaspersky и PayPal. Смята се обаче, че тези проблеми вече са решени и нито едно от тези приложения не е уязвимо днес.
Само разработчиците на приложения могат да решат този проблем; Apple не може да направи нищо отстрани, за да закърпи дупките. Страфах обаче казва, че е лесно да се избегне атака, като просто се използва клетъчна връзка вместо Wi-Fi, когато се използва уязвимо приложение.
