ข้อบกพร่องด้านความปลอดภัยที่ร้ายแรงซึ่งส่งผลต่อแอป iOS ประมาณ 1,500 แอปทำให้พวกเขาเสี่ยงต่อแฮกเกอร์ที่ต้องการรูดรหัสผ่าน ข้อมูลบัญชีธนาคาร และข้อมูลสำคัญอื่นๆ ตามรายงานฉบับใหม่
บั๊กที่บริษัทวิเคราะห์ความปลอดภัย SourceDNA ระบุเมื่อเดือนที่แล้ว ได้รับการแก้ไขแล้วในการอัปเดตโค้ดโอเพนซอร์ซที่มีช่องโหว่ อย่างไรก็ตาม ผู้ผลิตแอปบางรายยังไม่ได้อัปเดตเป็นเวอร์ชันใหม่กว่า
โชคดีที่คุณสามารถค้นหาเพื่อดูว่าแอพโปรดของคุณมีความเสี่ยงหรือไม่
NS ข้อผิดพลาดปรากฏในเวอร์ชันของ AFNetworkingArs Technica กล่าวว่า “ไลบรารีรหัสโอเพนซอร์ซที่ช่วยให้นักพัฒนาวางความสามารถด้านเครือข่ายลงในแอพของตนได้” ซึ่งเปิดตัวในเดือนมกราคม ช่องโหว่ดังกล่าวทำให้การโจมตีแบบคนกลางสามารถให้แฮกเกอร์เข้าถึงข้อมูลที่เข้ารหัสโดย HTTPSโปรโตคอลความปลอดภัยอินเทอร์เน็ตที่ใช้กันอย่างแพร่หลาย
นี่คือคำอธิบายของ Ars Technica เกี่ยวกับวิธีการโจมตีในแอปที่ใช้ AFNetworking เวอร์ชัน 2.5.1:
เพื่อใช้ประโยชน์จากจุดบกพร่อง ผู้โจมตีบนเครือข่าย Wi-Fi ของร้านกาแฟหรือในตำแหน่งอื่นเพื่อตรวจสอบ การเชื่อมต่อของอุปกรณ์ที่มีช่องโหว่ต้องแสดงด้วยเลเยอร์ซ็อกเก็ตที่ปลอดภัยที่หลอกลวงเท่านั้น ใบรับรอง. ภายใต้สภาวะปกติ ข้อมูลประจำตัวจะถูกตรวจพบทันทีว่าเป็นของปลอม และการเชื่อมต่อจะถูกยกเลิก แต่เนื่องจากข้อผิดพลาดทางตรรกะในโค้ดของเวอร์ชัน 2.5.1 การตรวจสอบความถูกต้องจึงไม่มีการดำเนินการใดๆ ดังนั้นใบรับรองที่หลอกลวงจึงได้รับความเชื่อถืออย่างเต็มที่
หลังจากระบุรหัสที่มีข้อบกพร่องแล้ว SourceDNA สแกนและวิเคราะห์ ทั้งหมด 1.4 ล้านชื่อใน App Store เพื่อดูว่าแอพใดบ้างที่เสี่ยงต่อการเกิดข้อผิดพลาด ในขณะที่บางส่วนมีซอร์สโค้ดที่ถูกบุกรุก บางส่วน — รวมถึงแอพยอดนิยม ภาพยนตร์โดย Flixster กับ Rotten Tomatoes — มีรายงานว่ายังคงเปราะบาง ณ วันจันทร์
คุณสามารถ ค้นหารายงานความปลอดภัย iOS ของ SourceDNA เพื่อดูว่าแอปที่คุณใช้มีความเสี่ยงต่อข้อบกพร่องด้านความปลอดภัยที่สำคัญนี้หรือไม่