SourceDNA, en kodanalysplattform som granskar Android och IOS-appar, har nyligen släppt en rapport som visar att mer än 1.000 iOS-appar har ett allvarligt säkerhetsproblem som kan äventyra användarens finansiella detaljer.
Felet hindrar appar från att korrekt verifiera SSL-certifikat Vad är ett SSL-certifikat och behöver du? Vad är ett SSL-certifikat och behöver du? Att surfa på Internet kan vara skrämmande när personuppgifter är inblandade. Läs mer, öppna apparna upp till ett antal man-i-mitten attacker. Medan den här appen inte påverkar säkerheten för iOS i sig Smartphone Security: Kan iPhone få skadlig kod? Smartphone Security: Kan iPhone få skadlig kod? Malware som påverkar "tusentals" av iPhones kan stjäla App Store-referenser, men de flesta iOS-användare är helt säkra - så vad är det med iOS och skurk programvara? Läs mer, det kan äventyra användardata som skickas via berörda appar ...
En enkel bugg som bryter SSL
Buggen i fråga är i AFNetworking-paketet, en populär nätverkslösning för öppen källkod som används i tusentals App Store-appar. Felet är ett enkelt logikfel som stannar SSL-kontrollen från att den faktiskt äger rum och returnerar alla certifikatkontroller som giltiga. Det här är inte en enorm säkerhetskatastrof som HeartBleed Heartbleed - Vad kan du göra för att vara säker? Heartbleed - Vad kan du göra för att vara säker? Läs mer eller ShellShock sämre än Heartbleed? Träffa ShellShock: En ny säkerhetsrisk för OS X och Linux är värre än Heartbleed? Möt ShellShock: En ny säkerhetsrisk för OS X och Linux Läs mer - men det är ett problem om du använder en app som innehåller felet. Lyckligtvis fanns buggen i endast cirka sex veckor, tillsatt i 2.5.1 och fixad i 2.5.2. Du kan rimligen anta att det är slutet på historien.
Tyvärr inte.
Tyvärr håller många utvecklare inte aktivt sina program uppdaterade med buggfixar, och det finns en massa appar som fortfarande använder den trasiga versionen av AFNetworking, trots att det finns en patch. SourceDNA analyserade 20.000 appar som innehåller versioner av AFNetworking-paketet och bestämde att cirka 1 000 fortfarande använder den trasiga SSL-kontrollen.
SourceDNA kunde utföra denna kontroll genom att använda analysverktyg som gör det möjligt att analysera binära filer från tusentals appar. Deras teknik låter dem identifiera inte bara vilka bibliotek dessa appar kompilerades med, men vilka versioner av dessa bibliotek. Som det visar sig är det otroligt användbart för att identifiera vilka appar som kan påverkas av kända fel och sårbarheter. Enligt papperet släpptes,
"SourceDNA skapade ett differential fingeravtryck från dem för att hitta den sårbara koden. Tänk på detta som en uppsättning unika egenskaper som var närvarande eller frånvarande endast i den riktade versionen och inte några andra före eller efter det. Med denna uppsättning signaturer skulle vår analysmotor berätta för oss exakt vilken version av AFNetworking som användes i varje app. ”
Många av de drabbade appsna lagrar och sänder användarkreditkortsdata, inklusive Alibaba.com mobilapp, KYBankAgent 3.0 och Revo Restaurant Point of Sale. Flera miljoner användare har en sårbar app installerad på deras iOS-enhet - en förvånande mängd exponering från en sådan kort bugg.
"5% eller cirka 1000 apps hade felet. Är dessa appar viktiga? Vi jämförde dem mot våra rankdata och hittade några stora spelare: Yahoo !, Microsoft, Uber, Citrix etc. Det förvånar oss att ett open source-bibliotek som introducerade en säkerhetsfel i endast 6 veckor utsatte miljoner användare att attackera. "
Bedömning av effekterna av AFNetworking Bug
Hur illa är det här sårbarheten? Felet tillåter angripare att lura apps för att tro att de kommunicerar via en säker anslutning till en betrodd server. Om du använder en sårbar app kan alla på samma WiFi-nätverk som du kan ställa in en man-i-mitten attack. Vad är en man-i-mittattack? Säkerhetsjargon förklarade Vad är en man-i-mittenattack? Security Jargon Explained Om du har hört talas om "man-in-the-middle" -attacker men inte helt säkra på vad det betyder är det här artikeln för dig. Läs mer och avlyssna information från appar, inklusive känslig data som kreditkortsinformation. Denna information kan sedan användas för att underlätta identitetsstöld 6 Varningsskyltar om digitalt identitetsstöld Du bör inte ignorera 6 varningsskyltar om digitalt identitetsstöld Du bör inte ignorera Identitetsstöld är inte så sällsynt av en händelse dessa dagar, men vi ofta faller i fällan att tänka att det alltid kommer att hända med "någon annan". Undvik att ignorera varningsskyltarna. Läs mer och andra former av bedrägeri. Potentiellt kan denna typ av attack automatiseras för att rikta sig till populära appar.
Ett antal företag har rusat ut uppdateringar och korrigeringar sedan nyheterna bröt, inklusive Microsoft och Yahoo. De flesta av programmen förbli emellertid oförändrade. För att se om de appar som du använder påverkas kan du använda SourceDNAs sökverktyg. Om du upptäcker att en av dina appar fortfarande är sårbar är den säkraste strategin att ta bort den tillfälligt och meddela utvecklarna att de ska lägga ut en korrigeringsfil så snart som möjligt.
SourceDNA är ett smart verktyg, och detta visar att deras teknik är verkligen användbar. Datorsäkerhet är svårt, och ett verktyg som kan automatisera processen att leta efter oöverlästa buggar - med eller utan utvecklarsamarbete - är en stor vinst för användarsäkerhet. Utan denna typ av kontroll hade denna utbredda insats varit kvar, förmodligen under ganska lång tid. Denna typ av analys möjliggör masspublicering som gör utvecklarna mycket mer ansvariga, och det verkar troligt att SourceDNA kommer att avslöja ytterligare oupptäckta och olösta problem.
Är din iOS-enhet påverkad av AFNetworking buggen? Är du upphetsad av dessa nya analysverktyg? Låt oss veta i kommentarerna!
Bildkrediter: "US Navy Cyberwarfare", "iPhone front, " iPhone kamera ", av Wikimedia