1.000 iOS Uygulamasında Sakat SSL Hatası var: Etkilendiğiniz Nasıl Kontrol Edilir

İlan

Android ve iOS uygulamalarını denetleyen bir kod analizi platformu olan SourceDNA, kısa süre önce 1000'den fazla iOS uygulamasının, bir kullanıcının finansal risklerinden ödün verebilecek ciddi bir güvenlik açığı olduğunu detaylar.

Hata, uygulamaların doğru bir şekilde kimlik doğrulamasını engelliyor SSL sertifikaları SSL Sertifikası Nedir ve Sertifikaya İhtiyacınız Var mı?Kişisel bilgiler söz konusu olduğunda internette gezinmek korkutucu olabilir. Daha fazla oku , uygulamaları bir dizi ortadaki adam saldırısına kadar açar. Bu uygulama, iOS'un güvenliği Akıllı Telefon Güvenliği: iPhone'lar Kötü Amaçlı Yazılım Alabilir mi?"Binlerce" iPhone'u etkileyen kötü amaçlı yazılımlar, App Store kimlik bilgilerini çalabilir, ancak iOS kullanıcılarının çoğunluğu tamamen güvenlidir - bu yüzden iOS ve haydut yazılımlarla olan anlaşma nedir? Daha fazla oku , etkilenen uygulamalar aracılığıyla iletilen kullanıcı verilerinden ödün verebilir ...

SSL'yi Kıran Basit Bir Hata

söz konusu hata binlerce App Store uygulamasında kullanılan popüler bir açık kaynaklı ağ çözümü olan AFNetworking paketindedir. Hata, SSL kontrolünün gerçekleşmesini durduran ve tüm sertifika kontrollerini geçerli olarak döndüren basit bir mantık hatasıdır. Bu çok büyük bir güvenlik felaketi değil

Heartbleed Heartbleed - Güvende Kalmak İçin Ne Yapabilirsiniz? Daha fazla oku veya ShellShock Heartbleed'den daha kötü mü? ShellShock ile Tanışın: OS X ve Linux İçin Yeni Bir Güvenlik Tehdidi Daha fazla oku - ancak hatayı içeren bir uygulama kullanıyorsanız bir sorundur. Neyse ki, hata sadece yaklaşık altı hafta vardı, 2.5.1'de eklendi ve 2.5.2'de düzeltildi. Bunun hikayenin sonu olduğunu makul bir şekilde düşünebilirsiniz.

Ne yazık ki hayır.

Ne yazık ki, birçok geliştirici hata düzeltmeleri ile uygulamalarını aktif olarak güncel tutmaz ve bir AFNetworking'in kırık sürümünü hala kullanan bir grup uygulama, yama. SourceDNA, AFNetworking paketinin sürümlerini içeren 20.000 uygulamayı analiz etti ve yaklaşık 1.000'in hala kırık SSL kontrolünü kullandığını belirledi.

SourceDNA, binlerce uygulamanın ikili dosyalarını analiz etmeyi mümkün kılan analitik araçlarını kullanarak bu kontrolü gerçekleştirebildi. Teknolojileri sadece bu uygulamaların hangi kitaplıklarla derlendiğini değil, aynı zamanda hangi kitaplıkların derlendiğini versiyonları bu kütüphanelerden. Anlaşıldığı üzere, bu, hangi uygulamaların bilinen hatalar ve güvenlik açıklarından etkilenebileceğini belirlemek için inanılmaz derecede yararlıdır. Yayınlanan makaleye göre,

“SourceDNA, savunmasız kodu bulmak için onlardan farklı bir parmak izi yarattı. Bunu, yalnızca hedeflenen sürümde mevcut olan veya olmayan ve ondan önce veya sonra başkaları olmayan bir dizi benzersiz özellik olarak düşünün. Bu imza kümesiyle, analiz motorumuz bize her uygulamada tam olarak hangi AFNetworking sürümünün kullanıldığını söyleyecektir. “

Etkilenen uygulamaların çoğu, kullanıcı kredi kartı verilerini depolar ve iletir; Alibaba.com mobil uygulaması, KYBankAgent 3.0, ve Revo Restaurant Satış Noktası. Birkaç milyon kullanıcı, iOS cihazlarında yüklü bir güvenlik açığı uygulamasına sahip - bu kadar kısa bir hatadan şaşırtıcı miktarda maruz kalma.

“% 5 veya yaklaşık 1.000 uygulamada kusur vardı. Bu uygulamalar önemli mi? Onları sıralama verilerimizle karşılaştırdık ve bazı büyük oyuncular bulduk: Yahoo!, Microsoft, Uber, Citrix, vb. Sadece 6 hafta boyunca güvenlik açığı oluşturan açık kaynaklı bir kütüphanenin bizi şaşırtması milyonlarca saldırmak için kullanıcıların. ”

Etkilerinin Değerlendirilmesi AFNetworking Hatası

Bu güvenlik açığı ne kadar kötü? Bu hata, saldırganların uygulamaları güvenilir bir sunucu ile güvenli bir bağlantı üzerinden iletişim kurduklarını düşünmelerine aldatmasına izin verir. Güvenlik açığı bulunan bir uygulama kullanıyorsanız, aynı WiFi ağında bulunan ve ortadaki adam saldırısı Ortadaki Adam Saldırısı Nedir? Güvenlik Jargonu Açıklandı"Ortadaki adam" saldırılarını duyduysanız ancak bunun ne anlama geldiğinden emin değilseniz, bu sizin için bir makaledir. Daha fazla oku ve kredi kartı bilgileri gibi hassas veriler de dahil olmak üzere uygulamalardan alınan bilgileri engeller. Bu bilgi daha sonra kolaylaştırmak için kullanılabilir kimlik Hırsızı Gözardı Etmemeniz Gereken Dijital Kimlik Hırsızlığı Uyarı İşaretleriKimlik hırsızlığı bu günlerde çok nadir görülmese de, çoğu zaman bunun "başkasına" geleceğini düşünme tuzağına düşüyoruz. Uyarı işaretlerini göz ardı etmeyin. Daha fazla oku ve diğer dolandırıcılık biçimleri. Potansiyel olarak, bu tür saldırılar popüler uygulamaları hedeflemek için otomatik hale getirilebilir.

Microsoft ve Yahoo dahil olmak üzere, haberlerin yayınlanmasından bu yana bazı şirketler güncellemeleri ve düzeltmeleri başlattı. Bununla birlikte, uygulamaların çoğu eşleşmemiş olarak kalır. Kullandığınız uygulamaların etkilenip etkilenmediğini görmek için SourceDNA arama aracını kullanabilirsiniz. Uygulamalarınızdan birinin hala savunmasız olduğunu fark ederseniz, en güvenli strateji onu geçici olarak silmek ve geliştiricilere mümkün olan en kısa sürede bir yama koymalarını bildirmektir.

SourceDNA akıllı bir araçtır ve bu, teknolojilerinin gerçekten yararlı olduğunu gösterir. Bilgisayar güvenliği zordur ve geliştirici işbirliğiyle veya geliştirmeyle birlikte işlenmemiş hataları arama işlemini otomatikleştirebilen bir araç, kullanıcı güvenliği için büyük bir kazançtır. Bu tür bir kontrol olmasaydı, bu yaygın hata muhtemelen uzun bir süre devam ederdi. Bu tür analizler, geliştiricileri çok daha hesap verebilir hale getiren kitlesel kamusal bilgi paylaşımını mümkün kılar ve SourceDNA'nın daha fazla tespit edilmemiş ve çözülmemiş sorunları ortaya çıkarması muhtemel görünmektedir.

İOS aygıtınız AFNetworking hatasından etkileniyor mu? Bu yeni analiz araçları sizi heyecanlandırıyor mu? Yorumlarda bize bildirin!

Resim kredileri: “ABD Deniz Kuvvetleri Siber Savaşı, ”“ İPhone önü, “iPhone kamera“, Wikimedia tarafından