Volgens een nieuw rapport zijn ongeveer 1.500 iOS-apps een ernstige beveiligingsfout die ze kwetsbaar maakt voor hackers die wachtwoorden, bankrekeninggegevens en andere gevoelige gegevens willen stelen.
De bug, die beveiligingsanalysebedrijf SourceDNA vorige maand identificeerde, is opgelost in een update van de open-sourcecode die de kwetsbaarheid bevatte. Sommige app-makers hebben echter nog niet geüpdatet naar de nieuwere versie.
Gelukkig kun je zoeken om te zien of je favoriete apps kwetsbaar zijn.
De bug verscheen in een versie van AFNetworking, "een open-source codebibliotheek waarmee ontwikkelaars netwerkmogelijkheden in hun apps kunnen plaatsen", die in januari werd uitgebracht, volgens Ars Technica. De kwetsbaarheid maakte man-in-the-middle-aanvallen mogelijk die hackers toegang konden geven tot gegevens die zijn versleuteld door HTTPS, een veelgebruikt internetbeveiligingsprotocol.
Hier is de beschrijving van Ars Technica van hoe de aanval zou werken in apps met versie 2.5.1 van AFNetworking:
Om de bug te misbruiken, kunnen aanvallers op een wifi-netwerk van een coffeeshop of in een andere positie de verbinding van een kwetsbaar apparaat hoeft het alleen te presenteren met een frauduleuze beveiligde sockets-laag certificaat. Onder normale omstandigheden zou de legitimatie onmiddellijk worden gedetecteerd als een vervalsing en zou de verbinding worden verbroken. Maar door een logische fout in de code van versie 2.5.1 wordt de validatiecontrole nooit uitgevoerd, dus frauduleuze certificaten worden volledig vertrouwd.
Na het identificeren van de gebrekkige code, SourceDNA gescand en geanalyseerd alle 1,4 miljoen titels in de App Store om te zien welke apps kwetsbaar blijven voor de bug. Hoewel relatief weinigen de gecompromitteerde broncode bevatten, bevatten sommige - inclusief populaire app Films van Flixster, met Rotten Tomatoes — bleef naar verluidt vanaf maandag kwetsbaar.
Jij kan zoek in het iOS-beveiligingsrapport van SourceDNA om te zien of apps die u gebruikt kwetsbaar zijn voor deze grote beveiligingsfout.
