Werbung
SourceDNA, eine Code-Analyseplattform, die Android- und iOS-Apps prüft, hat kürzlich einen Bericht veröffentlicht, der darauf hinweist dass mehr als 1.000 iOS-Apps eine schwerwiegende Sicherheitslücke aufweisen, die die finanzielle Situation eines Benutzers gefährden könnte Einzelheiten.
Der Fehler verhindert, dass sich die Apps korrekt authentifizieren SSL-Zertifikate Was ist ein SSL-Zertifikat und benötigen Sie eines?Das Surfen im Internet kann beängstigend sein, wenn es um persönliche Informationen geht. Weiterlesen Öffnen der Apps für eine Reihe von Man-in-the-Middle-Angriffen. Diese App hat zwar keinen Einfluss auf die Sicherheit von iOS selbst Smartphone-Sicherheit: Können iPhones Malware bekommen?Malware, die "Tausende" von iPhones betrifft, kann App Store-Anmeldeinformationen stehlen, aber die Mehrheit der iOS-Benutzer ist absolut sicher - wie sieht es also mit iOS- und Rogue-Software aus? Weiterlesen könnte es Benutzerdaten gefährden, die über betroffene Apps übertragen werden…
Ein einfacher Fehler, der SSL bricht
Das Fehler in Frage ist im AFNetworking-Paket enthalten, einer beliebten Open-Source-Netzwerklösung, die in Tausenden von App Store-Apps verwendet wird. Der Fehler ist ein einfacher logischer Fehler, der verhindert, dass die SSL-Prüfung tatsächlich stattfindet, und alle Zertifikatprüfungen als gültig zurückgibt. Dies ist keine massive Sicherheitskatastrophe wie Herzblut Herzbluten - Was können Sie tun, um sicher zu bleiben? Weiterlesen oder Neurose Schlimmer als Herzblut? Lernen Sie ShellShock kennen: Eine neue Sicherheitsbedrohung für OS X und Linux Weiterlesen - aber es ist ein Problem, wenn Sie eine App verwenden, die den Fehler enthält. Glücklicherweise bestand der Fehler nur etwa sechs Wochen, wurde in 2.5.1 hinzugefügt und in 2.5.2 behoben. Sie könnten vernünftigerweise annehmen, dass dies das Ende der Geschichte ist.
Unglücklicherweise nicht.
Leider halten viele Entwickler ihre Apps mit Fehlerkorrekturen nicht aktiv auf dem neuesten Stand, und es gibt eine Eine Reihe von Apps, die trotz der Verfügbarkeit von a immer noch die defekte Version von AFNetworking verwenden Patch. SourceDNA analysierte 20.000 Apps, die Versionen des AFNetworking-Pakets enthalten, und stellte fest, dass etwa 1.000 noch immer die fehlerhafte SSL-Prüfung verwenden.
SourceDNA konnte diese Überprüfung mithilfe von Analysetools durchführen, mit denen die Binärdateien von Tausenden von Apps analysiert werden können. Mithilfe ihrer Technologie können sie nicht nur identifizieren, mit welchen Bibliotheken diese Apps kompiliert wurden, sondern auch mit welchen Versionen dieser Bibliotheken. Wie sich herausstellt, ist dies unglaublich nützlich, um festzustellen, welche Apps von bekannten Fehlern und Schwachstellen betroffen sein können. Laut dem veröffentlichten Papier
„SourceDNA hat daraus einen differenziellen Fingerabdruck erstellt, um den anfälligen Code zu finden. Stellen Sie sich dies als eine Reihe einzigartiger Merkmale vor, die nur in der Zielversion vorhanden waren oder nicht und keine anderen davor oder danach. Mit diesen Signaturen würde uns unsere Analyse-Engine genau mitteilen, welche Version von AFNetworking in jeder App verwendet wurde. “
Viele der betroffenen Apps speichern und übertragen Benutzerkreditkartendaten, einschließlich das Alibaba.com mobile App, KYBankAgent 3.0, und Revo Restaurant Verkaufsstelle. Mehrere Millionen Benutzer haben eine anfällige App auf ihrem iOS-Gerät installiert - eine erstaunliche Menge an Gefährdung durch einen so kurzen Fehler.
„5% oder etwa 1.000 Apps hatten den Fehler. Sind diese Apps wichtig? Wir haben sie mit unseren Rangdaten verglichen und einige große Player gefunden: Yahoo! Microsoft, Uber, Citrix usw. Es überrascht uns, dass eine Open-Source-Bibliothek, die nur 6 Wochen lang eine Sicherheitslücke eingeführt hat, aufgedeckt wurde Millionen von Benutzern anzugreifen. "
Bewertung der Auswirkungen der AFNetworking Bug
Wie schlimm ist diese Sicherheitsanfälligkeit? Der Fehler ermöglicht es Angreifern, Apps zu täuschen, dass sie über eine sichere Verbindung mit einem vertrauenswürdigen Server kommunizieren. Wenn Sie eine anfällige App verwenden, kann jeder im selben WiFi-Netzwerk wie Sie eine einrichten Man-in-the-Middle-Angriff Was ist ein Man-in-the-Middle-Angriff? Sicherheitsjargon erklärtWenn Sie von "Man-in-the-Middle" -Angriffen gehört haben, sich aber nicht sicher sind, was das bedeutet, ist dies der Artikel für Sie. Weiterlesen und Abfangen von Informationen aus den Apps, einschließlich vertraulicher Daten wie Kreditkarteninformationen. Diese Informationen könnten dann zur Erleichterung verwendet werden Identitätsdiebstahl 6 Warnzeichen für Diebstahl digitaler Identität, die Sie nicht ignorieren solltenIdentitätsdiebstahl ist heutzutage nicht allzu selten, aber wir geraten oft in die Falle zu denken, dass es immer "jemand anderem" passieren wird. Ignorieren Sie nicht die Warnschilder. Weiterlesen und andere Formen von Betrug. Möglicherweise könnte diese Art von Angriff automatisiert werden, um auf beliebte Apps abzuzielen.
Eine Reihe von Unternehmen, darunter Microsoft und Yahoo, haben seit der Veröffentlichung der Nachrichten Updates und Korrekturen veröffentlicht. Die meisten Apps bleiben jedoch ungepatcht. Um festzustellen, ob die von Ihnen verwendeten Apps betroffen sind, können Sie das SourceDNA-Suchwerkzeug verwenden. Wenn Sie feststellen, dass eine Ihrer Apps immer noch anfällig ist, ist es am sichersten, sie vorübergehend zu löschen und die Entwickler zu benachrichtigen, damit sie so schnell wie möglich einen Patch veröffentlichen.
SourceDNA ist ein cleveres Werkzeug, und dies zeigt, dass ihre Technologie wirklich nützlich ist. Computersicherheit ist schwierig, und ein Tool, mit dem die Suche nach nicht gepatchten Fehlern - mit oder ohne Entwicklerzusammenarbeit - automatisiert werden kann, ist ein großer Gewinn für die Benutzersicherheit. Ohne diese Art der Überprüfung wäre dieser weit verbreitete Fehler wahrscheinlich noch lange bestehen geblieben. Diese Art der Analyse ermöglicht öffentliches Massenschämen, wodurch Entwickler viel rechenschaftspflichtiger werden, und es ist wahrscheinlich, dass SourceDNA weitere unentdeckte und ungelöste Probleme aufdeckt.
Ist Ihr iOS-Gerät vom AFNetworking-Fehler betroffen? Sind Sie von diesen neuen Analysetools begeistert? Lass es uns in den Kommentaren wissen!
Bildnachweis: „US Navy Cyberwarfare, "" IPhone vorne, "iPhone Kamera“, Von Wikimedia
Andre ist ein im Südwesten ansässiger Schriftsteller und Journalist, der garantiert bis zu 50 Grad Celsius funktionsfähig bleibt und bis zu einer Tiefe von zwölf Fuß wasserdicht ist.
