Zeci de aplicații iOS populare sunt vulnerabile la vărsarea datelor sensibile prin atacuri silențioase „om în mijloc”, potrivit unui expert de securitate mobil de încredere.
În timpul testării, Will Strafach, unul dintre primii care au deschis platforma iOS, a găsit 76 de aplicații care erau vinovate de acceptarea certificatelor nevalide care ar putea fi utilizate pentru interceptarea datelor.
Strafach este acum CEO al Sudo Security Group, o companie specializată în soluții de securitate pentru întreprinderi pentru iOS. În timp ce dezvolta cel mai recent instrument al companiei, un serviciu de analiză a aplicațiilor, Strafach a scanat codul aplicațiilor iOS „în masă” pentru a cerceta probleme comune.
El a dat peste „sute” de aplicații iOS care au o mare probabilitate de vulnerabilitate la interceptarea datelor. Cu teste suplimentare, Strafach a confirmat că 76 dintre ele ar putea fi piratate folosind un certificat TLS nevalid.
Unele dintre aplicațiile care sunt vulnerabile, dar prezintă un risc redus pentru utilizatorii finali dacă datele lor sunt interceptate sunt Snap Upload pentru Snapchat, Știri VICE, tranzacționare 212 Forex și acțiuni, browser privat, browser Cheetah și scaner de cod de ScanLife.
Strafach a identificat, de asemenea, aplicații vulnerabile care postează un risc mediu sau ridicat pentru utilizatorii finali, dar le oferă dezvoltatorilor posibilitatea de a le remedia înainte de a posta lista în 60 până la 90 de zile.
Ceea ce este îngrijorător în legătură cu aceste vulnerabilități este că acestea sunt blocate de funcția de securitate a transportului aplicațiilor care este inclusă în iOS. Mai mult, „acest tip de atac poate fi efectuat de orice parte din raza Wi-Fi a dispozitivului dvs. în timp ce este utilizat”, spune Strafach.
„Acest lucru poate fi oriunde în public, sau chiar în interiorul casei dumneavoastră, dacă un atacator poate ajunge în apropiere. Un astfel de atac poate fi efectuat folosind fie hardware personalizat, fie un telefon mobil ușor [sic] modificat, în funcție de gama și capacitățile necesare. ”
În trecut, aceeași vulnerabilitate a fost identificată în aplicațiile iOS de la Exsperian, Trend Micro, Citrix, Dell, Kaspersky și PayPal. Cu toate acestea, se crede că aceste probleme au fost rezolvate acum și niciuna dintre aceste aplicații nu este vulnerabilă astăzi.
Numai dezvoltatorii de aplicații pot rezolva această problemă; nu există nimic pe care Apple să-l poată face pe partea sa ca să pună găurile. Cu toate acestea, Strafach spune că este ușor să eviți un atac prin simpla utilizare a unei conexiuni celulare în loc de Wi-Fi atunci când folosești o aplicație vulnerabilă.
