Quasi 1500 app iOS hanno una vulnerabilità che può consentire l'intercettazione di dati sensibili degli utenti

1500 App per iPhone e iPad sono vulnerabili ad attacchi Man-in-the-Middle (MiTM)

Se stai utilizzando un iPhone/iPad o iPod, dovresti essere preoccupato perché i ricercatori di sicurezza hanno scoperto che circa 1.500 app per iPhone e iPad contengono una vulnerabilità HTTPS che può essere sfruttata dagli hacker per eseguire attacchi man-in-the-middle (MiTM) per rubare password, dettagli bancari e altre informazioni private degli utenti.

La vulnerabilità nella libreria di codice AFNetworking che consente agli hacker di eseguire attacchi MiTM è stata scoperta da SourceDNA. Cult of Mac riporta che la versione precedente della libreria di codice AFNetworking aveva la vulnerabilità ed è stata corretta nella versione 2.5.2, ma diversi sviluppatori di app non hanno aggiornato le loro app, lasciandole aperte agli attacchi.

SourceDNA ha scansionato circa 1,4 milioni di app disponibili sull’Apple App Store e ha scoperto che circa 1.500 app non erano state aggiornate all’ultima versione della libreria di codice AFNetworking. Anche se il numero è piuttosto piccolo rispetto al totale delle app disponibili sull’App Store, anche una sola app non corretta potrebbe consentire ai criminali informatici di eseguire un attacco MiTM per scopi malevoli.

Di solito, un certificato di socket sicuro falso verrebbe rilevato, causando l’interruzione immediata della connessione, ma i ricercatori hanno scoperto che a causa di un errore logico nel codice, non viene eseguita alcuna verifica di convalida. Questo significa che i certificati fraudolenti sono considerati attendibili dalle app che eseguono la versione 2.5.1 di AFNetworking.

“Il problema si verifica anche quando l’applicazione mobile richiede alla libreria di applicare controlli per la convalida del server nei certificati SSL,” hanno scritto i ricercatori. “Abbiamo testato l’app su un dispositivo reale e, inaspettatamente, abbiamo scoperto che tutto il traffico SSL poteva essere regolarmente intercettato tramite un proxy come Burp senza alcun intervento!”

Ars Technica riporta che il numero di app, tra cui Citrix OpenVoice Audio Conferencing, l’app mobile Alibababa, Movies by Flixster con Rotten Tomatoes, KYBankAgent 3.0 e Revo Restaurant Point of Sale, stava ancora utilizzando la versione vulnerabile di AFNetworking, ma la maggior parte delle app comuni utilizzate dagli utenti di iPhone/iPad e le app di Microsoft, Yahoo e Uber sono state corrette dopo una divulgazione privata agli sviluppatori.