Fast 1500 iOS-Apps haben eine Schwachstelle, die die Abhörung sensibler Benutzerdaten ermöglichen kann

1500 Apps für iPhones und iPads sind anfällig für Man-in-the-Middle (MiTM)-Angriffe

Wenn Sie ein iPhone/iPad oder iPod verwenden, sollten Sie besorgt sein, denn Sicherheitsforscher haben herausgefunden, dass etwa 1.500 Apps für iPhone und iPad eine HTTPS-Schwachstelle enthalten, die von Hackern ausgenutzt werden kann, um Man-in-the-Middle (MiTM)-Angriffe durchzuführen, um Passwörter, Bankdaten und andere private Benutzerinformationen zu stehlen.

Die Schwachstelle in der AFNetworking-Codebibliothek, die es Hackern ermöglicht, die MiTM-Angriffe durchzuführen, wurde von SourceDNA aufgedeckt. Cult of Mac berichtet, dass die ältere Version der AFNetworking-Codebibliothek die Schwachstelle hatte und in Version 2.5.2 behoben wurde, aber mehrere App-Entwickler ihre Apps nicht aktualisiert haben, wodurch sie anfällig für Angriffe bleiben.

SourceDNA hat etwa 1,4 Millionen Apps im Apple App Store gescannt und herausgefunden, dass etwa 1.500 Apps nicht auf die neueste Version der AFNetworking-Codebibliothek aktualisiert wurden. Obwohl die Zahl im Verhältnis zu den insgesamt im App Store verfügbaren Apps recht klein ist, könnte selbst eine einzige nicht gepatchte App Cyberkriminellen ermöglichen, einen MiTM-Angriff zu böswilligen Zwecken durchzuführen.

Normalerweise würde ein gefälschtes Secure Socket Layer-Zertifikat erkannt werden, was dazu führen würde, dass die Verbindung sofort getrennt wird, aber die Forscher fanden heraus, dass aufgrund eines logischen Fehlers im Code keine Validierungsprüfung durchgeführt wird. Das bedeutet, dass betrügerische Zertifikate von Apps, die Version 2.5.1 von AFNetworking ausführen, vertraut werden.

„Das Problem tritt sogar auf, wenn die mobile Anwendung die Bibliothek auffordert, Überprüfungen zur Servervalidierung in SSL-Zertifikaten durchzuführen“, schrieben die Forscher. „Wir haben die App auf einem echten Gerät getestet und unerwartet festgestellt, dass der gesamte SSL-Verkehr regelmäßig über einen Proxy wie Burp ohne jegliches Eingreifen abgefangen werden konnte!“

Ars Technica berichtet, dass eine Reihe von Apps, darunter Citrix OpenVoice Audio Conferencing, die Alibababa-Mobile-App, Movies by Flixster mit Rotten Tomatoes, KYBankAgent 3.0 und Revo Restaurant Point of Sale, weiterhin die anfällige Version von AFNetworking verwendeten, aber die gängigsten Apps, die von iPhone/iPad-Nutzern verwendet werden, sowie Apps von Microsoft, Yahoo und Uber wurden nach einer privaten Offenlegung an die Entwickler gepatcht.