Usaldusväärse mobiiliturbeeksperdi sõnul on kümned populaarsed iOS-i rakendused haavatavad teie tundlike andmete vallandamise eest vaikivate „mees-keskel” rünnakute kaudu.
Testimise käigus leidis Will Strafach, üks esimesi, kes iOS -i platvormi avas, ja avastas 76 rakendust, kes olid süüdi kehtetute sertifikaatide vastuvõtmises, mida saaks kasutada andmete pealtkuulamiseks.
Strafach on nüüd ettevõtte Sudo Security Group tegevjuht, mis on spetsialiseerunud ettevõtte iOS -i turvalahendustele. Ettevõtte uusima tööriista, rakenduste analüüsiteenuse väljatöötamise ajal skaneeris Strafach iOS-i rakenduste koodi massiliselt, et uurida levinumaid probleeme.
Ta komistas „sadade” iOS -i rakenduste juurde, millel on suur tõenäosus andmete pealtkuulamise suhtes haavatavuseks. Edasiste testidega Strafach on kinnitanud et 76 neist saaks häkkida, kasutades kehtetut TLS -sertifikaati.
Mõned rakendused, mis on haavatavad, kuid kujutavad lõppkasutajatele nende andmete pealtkuulamisel väikest ohtu, on kiire üleslaadimine Snapchat, VICE News, Trading 212 Forex & Stock, Private Browser, Cheetah Browser ja Code Scanner ScanLife.
Strafach tuvastas ka haavatavad rakendused, mis postitavad lõppkasutajatele keskmise või suure riski, kuid annab oma arendajatele võimaluse need enne loendi postitamist 60–90 päeva jooksul parandada.
Nende turvaaukude pärast teeb muret see, et need blokeerib rakendustranspordi turvalisuse funktsioon, mis on sisse lülitatud iOS -i. Veelgi enam, „seda tüüpi rünnakut võib korraldada iga osapool teie seadme WiFi-levialas, kui see on kasutusel,” ütleb Strafach.
"See võib olla kõikjal avalikus kohas või isegi teie kodus, kui ründaja pääseb lähedusse. Sellist rünnakut saab sõltuvalt nõutavast ulatusest ja võimalustest läbi viia kas kohandatud riistvara või veidi muudetud mobiiltelefoni abil. ”
Varem on sama haavatavus tuvastatud Exsperiani, Trend Micro, Citrixi, Delli, Kaspersky ja PayPali iOS -i rakendustes. Siiski arvatakse, et need probleemid on nüüd lahendatud ja ükski neist rakendustest pole täna haavatav.
Seda probleemi saavad lahendada ainult rakenduste arendajad; Apple ei saa aukude parandamiseks midagi teha. Strafach ütleb aga, et haavatava rakenduse kasutamisel on rünnakut lihtne vältida, kasutades WiFi asemel lihtsalt mobiilsideühendust.