עשרות אפליקציות iOS פופולריות חשופות לשפוך את הנתונים הרגישים שלך באמצעות התקפות שקטות של "איש באמצע", על פי מומחה אבטחה נייד אמין.
במהלך הבדיקה, וויל סטראפך, מהראשונים שפרצו לפלטפורמת ה- iOS, מצא 76 אפליקציות שהיו אשמות בקבלת אישורים לא חוקיים שניתן להשתמש בהם כדי ליירט נתונים.
סטראפך הוא כיום מנכ"ל Sudo Security Group, חברה המתמחה בפתרונות אבטחה ארגוניים עבור iOS. בעת פיתוח הכלי העדכני ביותר של החברה, שירות ניתוח אפליקציות, סרק סטראפך את הקוד של אפליקציות iOS "בהמוניהם" כדי לחקור נושאים נפוצים.
הוא נקלע ל"מאות "אפליקציות iOS שיש להן סבירות גבוהה לפגיעות ליירוט נתונים. עם בדיקות נוספות, Strafach אישר שניתן לפרוץ 76 מתוכם באמצעות אישור TLS לא חוקי.
חלק מהיישומים הפגיעים אך מהווים סיכון נמוך למשתמשי קצה אם הנתונים שלהם יורטו הם Snap Upload עבור Snapchat, חדשות VICE, מסחר בפורקס 212 ומניות, דפדפן פרטי, דפדפן צ'יטה וסורק קוד מאת ScanLife.
סטראפך זיהה גם אפליקציות פגיעות המציעות בפני משתמשי קצה סיכון בינוני או גבוה, אך הוא נותן למפתחים שלהם אפשרות לתקן אותן לפני פרסום הרשימה תוך 60 עד 90 יום.
מה שמדאיג לגבי נקודות התורפה האלה הוא שהם נחסמים על ידי תכונת האבטחה של App Transport שאפויה ב- iOS. יתר על כן, "התקפה מסוג זה יכולה להתבצע על ידי כל גורם בטווח ה- Wi-Fi של המכשיר שלך בזמן שהוא נמצא בשימוש", אומר סטראפך.
"זה יכול להיות בכל מקום בפומבי, או אפילו בתוך הבית שלך אם התוקף יכול להגיע לטווח קרוב. התקפה כזו יכולה להתבצע באמצעות חומרה מותאמת אישית או טלפון סלולרי שונה, בהתאם לטווח והיכולות הנדרשות. "
בעבר זוהתה אותה פגיעות באפליקציות iOS של Exsperian, Trend Micro, Citrix, Dell, Kaspersky ו- PayPal. עם זאת, ההערכה היא כי סוגיות אלו טופלו כעת ואף אחת מהאפליקציות הללו אינן פגיעות כיום.
רק מפתחי אפליקציות יכולים לפתור בעיה זו; אין שום דבר שאפל יכולה לעשות בצד שלה כדי לתקן את החורים. עם זאת, סטראפך אומר שקל להימנע מהתקפה פשוט באמצעות חיבור סלולרי במקום Wi-Fi בעת שימוש באפליקציה פגיעה.