Vakava tietoturvahäiriö, joka vaikuttaa noin 1500 iOS -sovellukseen, tekee niistä haavoittuvia hakkereille, jotka haluavat pyyhkäistä salasanoja, pankkitilitietoja ja muita arkaluonteisia tietoja, uuden raportin mukaan.
Virhe, jonka tietoturva-analytiikkayritys SourceDNA havaitsi viime kuussa, on korjattu haavoittuvuuden sisältävän avoimen lähdekoodin päivityksessä. Jotkut sovellusten valmistajat eivät kuitenkaan ole vielä päivittäneet uudempaan versioon.
Onneksi voit etsiä, onko suosikkisovelluksesi haavoittuva.
The bug ilmestyi AFNetworking -versiossa, "Avoimen lähdekoodin kirjasto, jonka avulla kehittäjät voivat pudottaa verkko-ominaisuudet sovelluksiinsa", joka julkaistiin tammikuussa Ars Technican mukaan. Haavoittuvuus salli man-in-the-middle-hyökkäyksiä, jotka voisivat antaa hakkereille pääsyn salattuihin tietoihin HTTPS, laajalti käytetty Internet -suojausprotokolla.
Tässä on Ars Technican kuvaus siitä, miten hyökkäys toimisi sovelluksissa, joissa on käytössä AFNetworking -versio 2.5.1:
Hyödyntääksesi vikaa hyökkääjät kahvilan Wi-Fi-verkossa tai muussa paikassa valvoa haavoittuvaan laitteeseen liittämisen tarvitsee vain esittää se vilpillisellä suojatulla pistorasiatasolla todistus. Normaalioloissa tunnistetiedot tunnistettaisiin välittömästi väärennöksiksi ja yhteys katkaistaisiin. Version 2.5.1 koodin loogisen virheen vuoksi validointitarkistusta ei koskaan suoriteta, joten vilpilliset varmenteet ovat täysin luotettavia.
Virheellisen koodin tunnistamisen jälkeen SourceDNA skannataan ja analysoidaan kaikki 1,4 miljoonaa kappaletta App Storesta, jotta näet, mitkä sovellukset ovat alttiita virheelle. Vaikka suhteellisen harvat sisältävät vaarantuneen lähdekoodin, jotkut - mukaan lukien suosittu sovellus Flixsterin elokuvia, Rotten Tomatoes - on kuulemma ollut haavoittuva maanantaista lähtien.
Sinä pystyt Hae SourceDNA: n iOS -suojausraportista nähdäksesi, ovatko käyttämäsi sovellukset alttiita tälle suurelle suojausvirheelle.
