Reklaam

Androidi ja iOS-i rakendusi auditeeriv koodianalüüsi platvorm SourceDNA avaldas hiljuti aruande, milles osutatakse et enam kui 1000 iOS-i rakendusel on tõsine turvaauk, mis võib kahjustada kasutaja rahalisi vahendeid üksikasjad.

Viga takistab rakenduste õiget autentimist SSL-sertifikaadid Mis on SSL-sertifikaat ja kas te seda vajate?Interneti-sirvimine võib olla hirmutav, kui tegemist on isikliku teabega. Loe rohkem , avades rakendusi paljudele kesktõve rünnakutele. Kuigi see rakendus ei mõjuta iOS-i enda turvalisus Nutitelefonide turvalisus: kas iPhone saab pahavara?Pahavara, mis mõjutab tuhandeid iPhone'e, võib varastada App Store'i mandaate, kuid enamus iOS-i kasutajaid on täiesti ohutud - milleks siis iOS ja petturitarkvara? Loe rohkem , võib see kahjustada mõjutatud rakenduste kaudu edastatud kasutajaandmeid ...

Lihtne viga, mis rikub SSL-i

iphonefront

viga on AFNetworking-paketis, mis on populaarne avatud lähtekoodiga võrgulahendus, mida kasutatakse tuhandetes App Store'i rakendustes. Viga on lihtne loogikaviga, mis takistab SSL-i kontrolli tegelikku toimumist, tagastades kõik sertifikaadikontrollid kehtivatena. See pole nii ulatuslik turvakatastroof nagu

instagram viewer
HeartBleed Südameveeb - mida saate teha, et turvaliselt püsida? Loe rohkem või ShellShock Halvem kui südamelöök? Tutvuge ShellShockiga: uus turvarisk OS X-i ja Linuxi jaoks Loe rohkem - kuid see on probleem, kui kasutate rakendust, mis sisaldab viga. Õnneks eksis viga ainult umbes kuus nädalat, lisati punktis 2.5.1 ja parandati punktis 2.5.2. Võib arvata, et see on loo lõpp.

Kahjuks ei.

Kahjuks ei hoia paljud arendajad oma rakendusi veaparandustega aktiivselt kursis ja neid on ka hunnik rakendusi, mis endiselt kasutavad AFNetworkingi katkist versiooni, vaatamata a plaaster. SourceDNA analüüsis 20 000 rakendust, mis sisaldavad AFNetworking-paketi versioone, ja leidis, et umbes 1000 kasutab endiselt katkist SSL-i kontrolli.

iphoneback

SourceDNA suutis selle kontrolli teostada, kasutades analüüsivahendeid, mis võimaldavad analüüsida tuhandete rakenduste binaarfaile. Nende tehnoloogia võimaldab neil tuvastada mitte ainult, millistes raamatukogudes need rakendused koostati, vaid ka millistes versioonid neist raamatukogudest. Nagu selgub, on see uskumatult kasulik tuvastamaks, milliseid rakendusi teadaolevad vead ja nõrgad kohad võivad mõjutada. Välja antud paberi kohaselt

„SourceDNA lõi neist haavatava koodi leidmiseks diferentsiaalse sõrmejälje. Mõelge sellele kui ainulaadsete omaduste kogumile, mis olid olemas või puudusid ainult sihitud versioonis, mitte ühegi teise jaoks enne ega pärast seda. Selle allkirjade komplekti abil annaks meie analüüsimootor meile täpselt teada, milline AFNetworkingi versioon oli igas rakenduses kasutusel.

Paljud mõjutatud rakendused salvestavad ja edastavad kasutaja krediitkaardiandmeid, sealhulgas Alibaba.com mobiilirakendus, KYBankAgent 3.0ja Revo restorani müügikoht. Mitme miljoni kasutaja jaoks on nende iOS-i seadmesse installitud haavatav rakendus - sellise lühikese vea tõttu on hämmastav palju kokkupuuteid.

„5% -l või umbes 1000-l rakendusel oli puudus. Kas need rakendused on olulised? Võrdlesime neid oma auastmeandmetega ja leidsime mõned suured tegijad: Yahoo!, Microsoft, Uber, Citrix jne. See hämmastab meid, et avatud lähtekoodiga raamatukogu, mis tõi turvarikkuse alles 6 nädala jooksul, paljastati miljoneid kasutajate ründamiseks. ”

Programmi mõju hindamine AFNetworking viga

Kui halb see haavatavus on? Viga võimaldab ründajatel rakendusi petta, mõeldes, et nad suhtlevad usaldusväärse serveriga turvalise ühenduse kaudu. Kui kasutate haavatavat rakendust, võivad kõik, kes asuvad samas WiFi-võrgus, seadistada a keset rünnakut Mis on rünnak keskel? Turvalisuse žargoon selgitatudKui olete kuulnud keskeltläbi rünnakutest, kuid pole päris kindel, mida see tähendab, on see artikkel teile mõeldud. Loe rohkem ja pealtkuulake rakenduste teavet, sealhulgas tundlikke andmeid, näiteks krediitkaarditeavet. Seda teavet saaks seejärel hõlbustamiseks kasutada identiteedivargus 6 digitaalse identiteedi varguse hoiatusmärki, mida ei tohiks eirataIdentiteedivargus pole tänapäeval eriti harv juhtum, kuid sageli satume lõksu, mõeldes, et see juhtub alati "kellegi teisega". Ärge ignoreerige hoiatusmärke. Loe rohkem ja muud pettused. Potentsiaalselt saab sellist rünnakut automatiseerida populaarsete rakenduste sihtimiseks.

081203-N-2147L-390

Mitmed ettevõtted on pärast uudiste avaldamist kiirustades värskendusi ja parandusi otsinud, sealhulgas Microsoft ja Yahoo. Enamik rakendusi jääb siiski kasutamata. Kasutamaks SourceDNA otsingutööriista, et näha, kas see mõjutab teie kasutatavaid rakendusi. Kui leiate, et mõni teie rakendus on endiselt haavatav, on kõige kindlam strateegia see ajutiselt kustutada ja edastada arendajatele sõnum, kus neil palutakse võimalikult kiiresti plaaster välja panna.

SourceDNA on nutikas tööriist ja see näitab, et nende tehnoloogia on tõeliselt kasulik. Arvutiturve on raske ja tööriist, mis suudab automatiseerimata saatmata vigade otsimise protsessi - koos arendaja koostööga või ilma - on kasutaja turvalisuse jaoks tohutu võit. Ilma sellise kontrollimiseta oleks see laialt levinud viga püsinud, tõenäoliselt üsna pikka aega. Selline analüüs võimaldab massilist avalikku häbistamist, mis muudab arendajad palju vastutustundlikumaks ning tundub, et SourceDNA paljastab veel avastamata ja lahendamata probleemid.

Kas AFNetworkingu viga mõjutab teie iOS-i seadet? Kas olete neist uutest analüüsitööriistadest vaimustuses? Andke meile kommentaarides teada!

Pildikrediidid: “USA mereväe kübersõda, ”“ IPhone'i ees ”iPhone'i kaamera“, Autor Wikimedia

Edelaosas asuv kirjanik ja ajakirjanik tagab Andrele funktsionaalsuse kuni 50 kraadi ja on veekindel kuni kaheteistkümne jala sügavuseni.