Почти 1500 приложений iOS имеют уязвимость, которая может позволить перехват чувствительных данных пользователей

1500 приложений для iPhone и iPad уязвимы для атак типа Man-in-the-Middle (MiTM)

Если вы используете iPhone/iPad или iPod, вам стоит беспокоиться, потому что исследователи безопасности обнаружили, что около 1500 приложений для iPhone и iPad содержат уязвимость HTTPS, которую могут использовать хакеры для проведения атак типа man-in-the-middle (MiTM) с целью кражи паролей, банковских данных и другой личной информации пользователей.

Уязвимость в библиотеке кода AFNetworking, которая позволяет хакерам проводить атаки MiTM, была выявлена SourceDNA. Cult of Mac сообщает, что старая версия библиотеки кода AFNetworking имела уязвимость и была исправлена в версии 2.5.2, но несколько разработчиков приложений не обновили свои приложения, оставив их открытыми для атак.

SourceDNA просканировала около 1,4 миллиона приложений, доступных в Apple App Store, и выяснила, что около 1500 приложений не были обновлены до последней версии библиотеки кода AFNetworking. Хотя это число довольно мало по сравнению с общим количеством приложений в App Store, даже одно незащищенное приложение может позволить киберпреступникам осуществить атаку MiTM с злонамеренной целью.

Обычно поддельный сертификат безопасного сокета обнаруживается, что приводит к мгновенному разрыву соединения, но исследователи обнаружили, что из-за логической ошибки в коде проверка валидации не выполняется. Это означает, что мошеннические сертификаты доверяются приложениями, работающими на версии 2.5.1 AFNetworking.

«Проблема возникает даже тогда, когда мобильное приложение запрашивает библиотеку применить проверки для валидации сервера в SSL-сертификатах», - написали исследователи. «Мы протестировали приложение на реальном устройстве и, неожиданно, обнаружили, что весь SSL-трафик можно регулярно перехватывать через прокси, такие как Burp, без какого-либо вмешательства!»

Ars Technica сообщает, что ряд приложений, включая Citrix OpenVoice Audio Conferencing, мобильное приложение Alibababa, Movies by Flixster с Rotten Tomatoes, KYBankAgent 3.0 и Revo Restaurant Point of Sale, все еще использовали уязвимую версию AFNetworking, но самые распространенные приложения, используемые пользователями iPhone/iPad, а также приложения от Microsoft, Yahoo и Uber были исправлены после частного раскрытия информации разработчикам.