Более 1,5 тыс. iOS-приложений подвержены серьезной уязвимости, эксплуатация которой позволяет осуществить перехват зашифрованных паролей, номеров банковских счетов и других важных персональных данных.
В марте нынешнего года специалисты по безопасности из компании SourceDNA сообщили об уязвимости в популярной библиотеке AFNetworking. Брешь затрагивает версию 2.5.1, представленную в конце января этого года. AFNetworking – библиотека с открытым исходным кодом, позволяющая разработчикам реализовать возможность сетевых подключений в своих приложениях. Несмотря на то, что автор AFNetworking уже выпустил обновление с исправлением уязвимости, в некоторых приложениях эта проблема все еще остается.
Баг позволяет осуществить MiTM-атаку, в результате которой злоумышленники могут получить доступ к данным, которые передаются по HTTPS.
Вот как портал Ars Technica описывает возможный сценарий проведения MiTM-атаки, нацеленной на приложения, использующие версию AFNetworking 2.5.1:
«Для эксплуатации бреши атакующему потребуется подключиться к публичной Wi-Fi-сети или использовать другие возможности соединения, позволяющие провести мониторинг уязвимого устройства. Для того чтобы осуществить взлом, преступнику потребуется отправить фальшивый SSL-сертификат. При обычных обстоятельствах сертификат немедленно будет распознан как поддельный, а соединение сброшено. Однако из-за наличия логической ошибки в коде версии 2.5.1 проверка валидности сертификатов не производится, поэтому они принимаются как надежные».
Специалисты SourceDNA провели сканирование и анализ приложений в App Store (всего 1,4 млн наименований) на предмет наличия обнаруженной ими уязвимости. Брешь в безопасности была обнаружена в большом количестве самых разных приложений. Примечательно, что в этот список попало и достаточно много действительно популярных в некоторых странах программ. Например, специалисты обнаружили уязвимость в Movies by Flixster, with Rotten Tomatoes, KYBankAgent и других.
Смотрите также: