Podľa spoľahlivého odborníka na mobilnú bezpečnosť sú desiatky populárnych aplikácií pre iOS zraniteľné voči vyliatiu vašich citlivých údajov prostredníctvom tichých útokov typu „muž v strede“.
Počas testovania Will Strafach, jeden z prvých, ktorý hackol otvorenie platformy iOS, našiel 76 aplikácií, ktoré sa previnili prijatím neplatných certifikátov, ktoré je možné použiť na zachytávanie údajov.
Strafach je teraz generálnym riaditeľom spoločnosti Sudo Security Group, spoločnosti, ktorá sa špecializuje na riešenia podnikového zabezpečenia pre iOS. Pri vývoji najnovšieho nástroja firmy, služby analýzy aplikácií, Strafach naskenoval kód aplikácií pre iOS „hromadne“, aby preskúmal bežné problémy.
Narazil na „stovky“ aplikácií pre iOS, u ktorých je vysoká pravdepodobnosť zraniteľnosti pri zachytávaní údajov. S ďalším testovaním, Strafach potvrdil že 76 z nich bolo možné hacknúť pomocou neplatného certifikátu TLS.
Niektoré z aplikácií, ktoré sú zraniteľné, ale predstavujú malé riziko pre koncových používateľov, ak sú zachytené ich údaje, sú Snap Upload pre Snapchat, VICE News, Trading 212 Forex & Stocks, Private Browser, Cheetah Browser a Code Scanner od ScanLife.
Strafach tiež identifikoval zraniteľné aplikácie, ktoré predstavujú stredné alebo vysoké riziko pre koncových používateľov, ale dáva ich vývojárom príležitosť opraviť ich pred zverejnením zoznamu do 60 až 90 dní.
Na týchto zraniteľnostiach je znepokojujúce to, že sú blokované funkciou App Transport Security, ktorá je integrovaná do systému iOS. Okrem toho „tento druh útoku môže vykonávať akákoľvek strana v dosahu Wi-Fi vášho zariadenia, keď sa používa,“ hovorí Strafach.
"Môže to byť kdekoľvek na verejnosti, alebo dokonca vo vašom dome, ak sa útočník môže dostať do bezprostrednej blízkosti." Takýto útok je možné vykonať buď na základe vlastného hardvéru, alebo na základe upraveného mobilného telefónu v závislosti od požadovaného dosahu a možností. “
V minulosti bola rovnaká zraniteľnosť identifikovaná v aplikáciách pre iOS od spoločností Exsperian, Trend Micro, Citrix, Dell, Kaspersky a PayPal. Verí sa však, že tieto problémy sú už vyriešené a žiadna z týchto aplikácií dnes nie je zraniteľná.
Tento problém môžu vyriešiť iba vývojári aplikácií; Apple nemôže na svojej strane urobiť nič, aby zaplátal diery. Strafach však tvrdí, že je ľahké vyhnúť sa útoku jednoduchým použitím mobilného pripojenia namiesto Wi-Fi, keď používate zraniteľnú aplikáciu.