Cacat keamanan serius yang memengaruhi sekitar 1.500 aplikasi iOS membuat mereka rentan terhadap peretas yang ingin menggesek kata sandi, info rekening bank, dan data sensitif lainnya, menurut sebuah laporan baru.
Bug, yang diidentifikasi oleh firma analitik keamanan SourceDNA bulan lalu, telah diperbaiki dalam pembaruan kode sumber terbuka yang berisi kerentanan. Namun, beberapa pembuat aplikasi belum memperbarui ke versi yang lebih baru.
Untungnya, Anda dapat mencari untuk melihat apakah aplikasi favorit Anda rentan.
NS bug muncul di versi AFNetworking, “pustaka kode sumber terbuka yang memungkinkan pengembang untuk memasukkan kemampuan jaringan ke dalam aplikasi mereka,” yang dirilis pada bulan Januari, menurut Ars Technica. Kerentanan ini memungkinkan serangan man-in-the-middle yang dapat memberi peretas akses ke data yang dienkripsi oleh HTTPS, protokol keamanan internet yang banyak digunakan.
Berikut deskripsi Ars Technica tentang cara kerja serangan di aplikasi yang menjalankan AFNetworking versi 2.5.1:
Untuk mengeksploitasi bug, penyerang di jaringan Wi-Fi kedai kopi atau di posisi lain untuk memantau koneksi perangkat yang rentan hanya perlu menyajikannya dengan lapisan soket aman palsu sertifikat. Dalam kondisi normal, kredensial akan segera terdeteksi sebagai palsu, dan koneksi akan terputus. Tetapi karena kesalahan logika pada kode versi 2.5.1, pemeriksaan validasi tidak pernah dilakukan, sehingga sertifikat palsu sepenuhnya dipercaya.
Setelah mengidentifikasi kode yang cacat, SourceDNA dipindai dan dianalisis semua 1,4 juta judul di App Store untuk melihat aplikasi apa yang tetap rentan terhadap bug. Sementara beberapa relatif berisi kode sumber yang disusupi, beberapa — termasuk aplikasi populer Film oleh Flixster, dengan Rotten Tomatoes - dilaporkan tetap rentan pada hari Senin.
Kamu bisa cari Laporan Keamanan iOS SourceDNA untuk melihat apakah ada aplikasi yang Anda gunakan rentan terhadap kelemahan keamanan utama ini.