76 Популярни приложения за iOS намерени уязвимо за безшумно прехващане на данни

Verify.ly, услуга, която сканира двоичния код на приложение за iOS, за да открие проблеми със сигурността, свързани с приложението, разкри, че 76 приложения за iOS с комбинирани 18 милиона изтегляния са незащитени срещу безшумно прихващане на TLS-защитени данни.




снимка: ymgerman / Shutterstock.com

По време на теста, всички 76 приложения, включително няколко VPN приложения, приложения за браузър, както и популярното приложение Vice News, бяха установени, че са уязвими за безшумна атака „човек в средата“, която излага на потребителските данни риск.

Нарушаването на сигурността позволява на нападателя лесно да прихваща и манипулира потребителските данни.



„Системата ни отчете стотици приложения, които имат голяма вероятност за уязвимост при прихващане на данни. Успях да потвърдя напълно (уязвимости на приложението), използвайки жив iPhone с iOS 10 и „злонамерен“ прокси, за да вмъкна невалиден TLS сертификат във връзката за тестване “, написах Уил Страфах, основател на Verify.ly.



Докладът установи, че 33 от тези уязвими приложения за iOS са в групата с нисък риск, 24 в групата със среден риск и 19 с висок риск.

Въпреки че групата на приложения с нисък и среден риск не бяха уязвими от прихващане на поверителни потребителски данни, които биха могли да бъдат вредни, 19 от високорисковите приложения се считат за силно уязвими от препредаване на идентификационни данни за вход за финансови или медицински услуги.

Повечето твърдят, че за такива атаки е необходимо устройството ви да бъде в същата интернет връзка - обикновено обществена Wi-Fi връзка - като тази на нападателя, но това не е напълно вярно.

„Истината на въпроса е, че този вид атака може да бъде проведена от всяка страна в обхвата на Wi-Fi на вашето устройство, докато то се използва. Това може да бъде навсякъде публично или дори в дома ви, ако нападател може да се добере до близко разстояние. “Страфах добавя.

Това не е първият път, когато този вид уязвимост е разкрит в iOS приложения. За да назовем няколко приложения за iOS като Kaspersky Safe Browser, Experian, Dell SecureWorks имаше подобни проблеми с уязвимостта.

„Много проблеми като този възникват от разработчик на приложения, които не разбират напълно кода, който са взели назаем от мрежата“, добави той.

Докладът също така подчертава, че за да се запази поверителната информация, да се изключи Wi-Fi и да се използват клетъчни данни, докато влизате в банковата си сметка, за да извършите транзакция или да проверите баланса си, се препоръчва, тъй като клетъчните интернет връзки са сравнително по-трудни за хакване.