Dussintals populära iOS-appar är sårbara för att spilla dina känsliga data genom tysta "man-in-the-middle" -attacker, enligt en pålitlig mobil säkerhetsexpert.
Under testet hittade Will Strafach, en av de första som hackade upp iOS -plattformen, 76 appar som gjorde sig skyldiga till att ha accepterat ogiltiga certifikat som kan användas för att fånga upp data.
Strafach är nu VD för Sudo Security Group, ett företag som specialiserat sig på företagslösningar för iOS. Under utvecklingen av företagets senaste verktyg, en appanalystjänst, skannade Strafach koden för iOS-appar "en-masse" för att undersöka vanliga problem.
Han snubblade över "hundratals" iOS -appar som har stor sannolikhet för sårbarhet för datavlyssning. Med ytterligare tester, Strafach har bekräftat att 76 av dem kan hackas med ett ogiltigt TLS -certifikat.
Några av de appar som är sårbara men utgör en låg risk för slutanvändare om deras data fångas upp är Snap Upload för Snapchat, VICE News, Trading 212 Forex & Stocks, Private Browser, Cheetah Browser och Code Scanner av ScanLife.
Strafach identifierade också sårbara appar som publicerar en medelstor eller hög risk för slutanvändare, men han ger deras utvecklare en möjlighet att fixa dem innan de publicerar listan om 60 till 90 dagar.
Det som oroar dessa sårbarheter är att de blockeras av App Transport Security -funktionen som är inbakad i iOS. Dessutom kan "den här typen av attacker utföras av alla parter inom enhetens Wi-Fi-område medan den används", säger Strafach.
”Det här kan vara var som helst offentligt eller till och med i ditt hem om en angripare kan komma inom nära räckhåll. En sådan attack kan utföras med hjälp av antingen anpassad hårdvara eller en lätt [sic] modifierad mobiltelefon, beroende på önskat intervall och kapacitet. ”
Tidigare har samma sårbarhet identifierats i iOS -appar från Exsperian, Trend Micro, Citrix, Dell, Kaspersky och PayPal. Men man tror att dessa frågor nu har åtgärdats och ingen av dessa appar är sårbara idag.
Endast apputvecklare kan lösa detta problem; det finns inget Apple kan göra på sin sida för att lappa hålen. Strafach säger dock att det är lätt att undvika en attack genom att helt enkelt använda en mobilanslutning istället för Wi-Fi när man använder en sårbar app.
