Реклама

СоурцеДНА, платформа за анализу кода која врши ревизију Андроид и иОС апликација, недавно је објавила извештај у коме је назначена да више од 1.000 иОС апликација има озбиљну безбедносну рањивост која може угрозити финансирање корисника детаље.

Грешка спречава да се апликације исправно потврде ССЛ сертификати Шта је ССЛ сертификат и да ли вам треба?Прегледавање Интернета може бити застрашујуће када су у питању лични подаци. Опширније , отварајући апликације за бројне нападе човека у средини. Иако ова апликација не утиче на сигурност самог иОС-а Сигурност паметних телефона: Могу ли иПхоне уређаји добити злонамјерни софтвер?Злонамјерни софтвер који утјече на „хиљаде“ иПхона може украсти вјеродајнице Апп Сторе-а, али већина корисника иОС-а је потпуно сигурна - па шта је с иОС-ом и рогуе софтвером? Опширније , може угрозити корисничке податке који се преносе преко погођених апликација ...

Једноставан буг који разбија ССЛ

ипхонефронт

Тхе буг у питању налази се у пакету АФНетворкинг, популарном мрежном рјешењу отвореног кода који се користи у хиљадама апликација Апп Сторе. Грешка је једноставна логичка грешка која спречава да се ССЛ чек заиста догоди, враћа све провере сертификата као валидне. Ово није масивна безбедносна катастрофа

instagram viewer
ХеартБлеед Срчано срце - шта можете учинити да останете сигурни? Опширније или Контузија Још горе од срца? Упознајте СхеллСхоцк: Нова пријетња сигурности за ОС Кс и Линук Опширније - али проблем је ако користите апликацију која садржи буг. Срећом, буг је постојао само око шест недеља, додат је у 2.5.1 и поправио је у 2.5.2. Могло би се претпоставити да је то крај приче.

Нажалост нема.

Нажалост, многи програмери не ажурирају своје апликације активно са исправкама грешака, а постоје и следећи гомила апликација које и даље користе покварену верзију АФНетворкинга, упркос доступности а закрпа. СоурцеДНА је анализирала 20.000 апликација које садрже верзије пакета АФНетворкинг и утврдила да око 1.000 још увек користи покварени ССЛ чек.

ипхонебацк

СоурцеДНА је успела да изврши ову проверу користећи аналитичке алате који омогућавају анализу бинарних датотека хиљаде апликација. Њихова технологија омогућава им да идентификују не само са којим библиотекама су ове апликације састављене, већ и из којих верзије тих библиотека. Како се испоставило, ово је невероватно корисно за препознавање на које апликације могу утицати познати бугови и рањивости. Према објављеном раду,

„СоурцеДНА је направила од њих различит отисак да би пронашла рањиви код. Замислите ово као скуп јединствених карактеристика које су биле присутне или одсутне само у циљаној верзији, а не било којој другој пре или после ње. Помоћу овог скупа потписа, наш механизам за анализу би нам тачно рекао која се верзија АФНетворкинг-а користила у свакој апликацији.

Многе погођене апликације складиште и преносе податке о кредитним картицама корисника, укључујући тхе тхе Алибаба.цом мобилна апликација, КИБанкАгент 3.0, и Продајно место ресторана Рево. Неколико милиона корисника има инсталирану рањиву апликацију на свом иОС уређају - задивљујућа количина изложености од тако кратке грешке.

„Пропуст је било 5% или око 1.000 апликација. Да ли су ове апликације важне? Упоредили смо их са нашим ранг подацима и пронашли неке велике играче: Иахоо!, Мицрософт, Убер, Цитрик, итд. Изненађује нас што је библиотека отвореног кода која је увела сигурносни пропуст за само 6 недеља изложена милиони корисника да нападну. "

Процена утицаја АФНетворкинг Буг

Колико је лоша та рањивост? Грешка омогућава нападачима да заварају апликације мислећи да комуницирају преко сигурне везе са поузданим сервером. Ако користите рањиву апликацију, било ко на истој ВиФи мрежи као и ви можете да поставите напад човека у средини Шта је напад човека у средини? Објашњен сигурносни жаргонАко сте чули за нападе "човека у средини", али нисте баш сигурни шта то значи, ово је чланак за вас. Опширније и пресретање информација из апликација, укључујући осетљиве податке попут података о кредитној картици. Те информације би се затим могле користити за олакшавање Крађа идентитета 6 Знакови упозорења крађе дигиталног идентитета које не треба да игноришетеКрађа идентитета није ретка појава ових дана, али често упадамо у замку размишљања да ће се то увек догодити „неком другом“. Не занемарујте знакове упозорења. Опширније и друге облике преваре. Потенцијално би таква врста напада могла бити аутоматизована да циља на популарне апликације.

081203-Н-2147Л-390

Многе компаније су убрзале ажурирања и исправке од тренутка када су вести проистекле, укључујући Мицрософт и Иахоо. Већина апликација, међутим, остаје нетакнута. Да бисте видели да ли на апликације које користите утичу, можете да користите СоурцеДНА алат за претрагу. Ако откријете да је једна од ваших апликација још увек рањива, најсигурнија стратегија је да је привремено избришете и да програмерима пошаљете поруку да они затраже што пре да испупе закрпу.

СоурцеДНА је паметно средство, а то показује да је њихова технологија заиста корисна. Рачунална сигурност је тешка, а алат који може аутоматизовати процес тражења непримјерених грешака - са или без сарадње са програмерима - је огромна добит за сигурност корисника. Без овакве провере, ова широко распрострањена грешка трајала би, вероватно, прилично дуго. Ова врста анализе омогућава масовно јавно срамоћење које програмерима чини много одговорнијима, а чини се да ће СоурцеДНА открити даље неоткривене и нерешене проблеме.

Да ли је ваш иОС уређај погођен грешком АФНетворкинг? Јесте ли узбуђени овим новим аналитичким алатима? Јавите нам у коментарима!

Слика кредита: “Циберварфаре америчке морнарице, "ИПхоне предња страна",иПхоне камера“, Викимедиа

Писац и новинар са северозапада, Андре је загарантовано да ће остати функционалан до 50 степени Целзијуса, а водоотпоран је до дубине од дванаест стопа.