Annuncio pubblicitario
SourceDNA, una piattaforma di analisi del codice che controlla le app Android e iOS, ha recentemente rilasciato un rapporto che indica che oltre 1.000 app iOS presentano una grave vulnerabilità di sicurezza che potrebbe compromettere la situazione finanziaria di un utente dettagli.
Il bug impedisce alle app di autenticarsi correttamente Certificati SSL Che cos'è un certificato SSL e ne hai bisogno?Navigare in Internet può essere spaventoso quando sono coinvolte informazioni personali. Leggi di più , aprendo le app fino a una serie di attacchi man-in-the-middle. Mentre questa app non influisce sul sicurezza di iOS stesso Sicurezza smartphone: gli iPhone possono ottenere malware?I malware che colpiscono "migliaia" di iPhone possono rubare le credenziali dell'App Store, ma la maggior parte degli utenti iOS sono perfettamente al sicuro, quindi qual è il problema con iOS e software non autorizzati? Leggi di più , potrebbe compromettere i dati degli utenti trasmessi attraverso le app interessate ...
Un semplice bug che rompe SSL
Il bug in questione è nel pacchetto AFNetworking, una popolare soluzione di rete open source utilizzata in migliaia di app App Store. Il bug è un semplice errore logico che impedisce che il controllo SSL abbia effettivamente luogo, restituendo tutti i controlli del certificato validi. Questo non è un disastro di sicurezza come heartbleed Heartbleed - Cosa puoi fare per stare al sicuro? Leggi di più o ShellShock Peggio di cuore? Scopri ShellShock: una nuova minaccia alla sicurezza per OS X e Linux Leggi di più - ma è un problema se usi un'app che contiene il bug. Fortunatamente, il bug esisteva solo per circa sei settimane, aggiunto in 2.5.1 e corretto in 2.5.2. Si potrebbe ragionevolmente supporre che sia la fine della storia.
Sfortunatamente no.
Purtroppo, molti sviluppatori non mantengono attivamente aggiornate le loro app con correzioni di bug e ci sono: gruppo di app che stanno ancora utilizzando la versione non funzionante di AFNetworking, nonostante la disponibilità di a rattoppare. SourceDNA ha analizzato 20.000 app che contengono versioni del pacchetto AFNetworking e ha determinato che circa 1.000 stanno ancora utilizzando il controllo SSL non funzionante.
SourceDNA è stato in grado di eseguire questo controllo utilizzando strumenti di analisi che consentono di analizzare i file binari di migliaia di app. La loro tecnologia consente loro di identificare non solo le librerie con cui sono state compilate queste app, ma quali versioni di quelle biblioteche. A quanto pare, questo è incredibilmente utile per identificare quali app potrebbero essere interessate da bug e vulnerabilità noti. Secondo il documento pubblicato,
“SourceDNA ha creato un'impronta digitale differenziale da loro per trovare il codice vulnerabile. Pensa a questo come un insieme di caratteristiche uniche che erano presenti o assenti solo nella versione di destinazione e non altre precedenti o successive. Con questo set di firme, il nostro motore di analisi ci direbbe esattamente quale versione di AFNetworking era in uso in ciascuna app. “
Molte delle app interessate memorizzano e trasmettono i dati della carta di credito dell'utente, incluso il App mobile Alibaba.com, KYBankAgent 3.0, e Punto vendita Revo Restaurant. Diversi milioni di utenti hanno un'app vulnerabile installata sul proprio dispositivo iOS, una quantità sorprendente di esposizione da un bug così breve.
"Il 5% o circa 1.000 app avevano il difetto. Queste app sono importanti? Li abbiamo confrontati con i nostri dati di rango e abbiamo trovato alcuni grandi giocatori: Yahoo!, Microsoft, Uber, Citrix, ecc. Ci stupisce che sia stata scoperta una libreria open source che ha introdotto un difetto di sicurezza per sole 6 settimane milioni degli utenti da attaccare ".
Valutare l'impatto del AF Bug di rete
Quanto è grave questa vulnerabilità? Il bug consente agli aggressori di ingannare le app nel pensare che stanno comunicando tramite una connessione sicura con un server fidato. Se stai utilizzando un'app vulnerabile, tutti gli utenti della stessa rete WiFi che puoi impostare a attacco man-in-the-middle Che cos'è un attacco man-in-the-middle? Spiegazione del gergo sulla sicurezzaSe hai sentito parlare di attacchi "man-in-the-middle" ma non sei sicuro di cosa significhi, questo è l'articolo per te. Leggi di più e intercettare le informazioni dalle app, inclusi dati sensibili come le informazioni sulla carta di credito. Queste informazioni potrebbero quindi essere utilizzate per facilitare furto d'identità 6 Segnali di pericolo di furto di identità digitale che non dovresti ignorareIl furto di identità al giorno d'oggi non è un evento troppo raro, ma spesso cadiamo nella trappola di pensare che accadrà sempre a "qualcun altro". Non ignorare i segnali di avvertimento. Leggi di più e altre forme di frode. Potenzialmente, questo tipo di attacco potrebbe essere automatizzato per colpire le app più diffuse.
Diverse aziende hanno lanciato aggiornamenti e correzioni da quando è scoppiata la notizia, tra cui Microsoft e Yahoo. La maggior parte delle app, tuttavia, rimane senza patch. Per vedere se le app che usi sono interessate, puoi utilizzare lo strumento di ricerca SourceDNA. Se scopri che una delle tue app è ancora vulnerabile, la strategia più sicura è eliminarla temporaneamente e inviare un messaggio agli sviluppatori chiedendo loro di mettere una patch il prima possibile.
SourceDNA è uno strumento intelligente e questo dimostra che la loro tecnologia è veramente utile. La sicurezza del computer è difficile e uno strumento in grado di automatizzare il processo di ricerca di bug senza patch, con o senza la cooperazione degli sviluppatori, è una grande vittoria per la sicurezza degli utenti. Senza questo tipo di controllo, questo diffuso bug sarebbe persistito, probabilmente per molto tempo. Questo tipo di analisi abilita la vergogna del pubblico di massa che rende gli sviluppatori molto più responsabili e sembra probabile che SourceDNA scoprirà ulteriori problemi non rilevati e irrisolti.
Il tuo dispositivo iOS è interessato dal bug AFNetworking? Sei entusiasta di questi nuovi strumenti di analisi? Fateci sapere nei commenti!
Crediti immagine: “US Cyberwarfare, "" IPhone frontale, "fotocamera per iPhone“, Di Wikimedia
Scrittore e giornalista con sede nel sud-ovest, Andre è garantito per rimanere funzionale fino a 50 gradi Celcius ed è impermeabile fino a una profondità di dodici piedi.