Hirdetés

A SourceDNA, az Android és iOS alkalmazásokat ellenőrző kód analitikai platform nemrégiben kiadott egy jelentést, amely jelzi hogy több mint 1000 iOS-alkalmazás komoly biztonsági rést szenved, amely veszélyeztetheti a felhasználó pénzügyi helyzetét részletek.

A hiba megakadályozza az alkalmazások megfelelő hitelesítését SSL tanúsítványok Mi az SSL tanúsítvány, és szüksége van rá?Az internet böngészése félelmetes lehet, ha személyes adatok vannak benne. Olvass tovább , az alkalmazásokat számos „közép-ember támadás” megnyitására képes megnyitni. Míg ez az alkalmazás nem érinti a maga az iOS biztonsága Okostelefonok biztonsága: Lehet-e az iPhone kapni malware szoftvert?Az "iPhone" ezreit érintő rosszindulatú programok ellophatják az App Store hitelesítő adatait, de az iOS-felhasználók többsége tökéletesen biztonságban van - tehát mi a helyzet az iOS-sel és a gazember szoftverekkel? Olvass tovább , veszélyeztetheti az érintett alkalmazásokon továbbított felhasználói adatokat…

Egy egyszerű hiba, amely megszakítja az SSL-t

instagram viewer
iphonefront

Az kérdéses hiba az AFNetworking csomagban található, amely egy népszerű nyílt forrású hálózati megoldás, amelyet több ezer App Store alkalmazásban használnak. A hiba egy egyszerű logikai hiba, amely megakadályozza, hogy az SSL-ellenőrzés ténylegesen megtörténjen, és minden tanúsítvány-ellenőrzést érvényesnek nyilvánít. Ez nem olyan hatalmas biztonsági katasztrófa, mint például heartbleed Szívverés - Mit tehetsz, hogy biztonságban maradj? Olvass tovább vagy ShellShock Rosszabb, mint a szívverés? Meet ShellShock: Új biztonsági fenyegetés az OS X és Linux számára Olvass tovább - de ez egy probléma, ha olyan alkalmazást használ, amely tartalmazza a hibát. Szerencsére a hiba csak körülbelül hat hétig létezett, hozzáadódott a 2.5.1. Ponthoz, és a 2.5.2. Ésszerűen feltételezheti, hogy ez a történet vége.

Sajnos nincs.

Sajnos sok fejlesztő nem aktívan tartja naprakészen alkalmazásokat a hibajavításokkal, és vannak olyanok is egy csomó alkalmazás, amely továbbra is használja az AFNetworking törött verzióját, annak ellenére, hogy rendelkezésre áll egy a tapasz. A SourceDNA 20 000 alkalmazást elemezte, amelyek tartalmazzák az AFNetworking csomag verzióit, és megállapította, hogy mintegy 1000 még mindig használja a törött SSL-ellenőrzést.

iphoneback

A SourceDNA ezt az ellenőrzést olyan elemző eszközök segítségével hajtotta végre, amelyek lehetővé teszik több ezer alkalmazás bináris fájljainak elemzését. Technológiájuk segítségével nemcsak meg tudják határozni, hogy mely könyvtárakba fordították ezeket az alkalmazásokat, hanem melyeket is változatok ezekből a könyvtárakból. Mint kiderült, ez hihetetlenül hasznos annak meghatározásában, mely alkalmazásokat érinthetik az ismert hibák és sebezhetőségek. A kiadott cikk szerint

„A SourceDNA differenciált ujjlenyomatot készített tőlük, hogy megtalálják a sebezhető kódot. Gondoljon erre olyan egyedi jellemzők halmazára, amelyek csak a megcélzott változatban voltak jelen vagy hiányoztak meg, és nem más, előtte vagy utána. Az aláíráskészlettel az elemző motorunk pontosan megmondja nekünk, hogy az AFNetworking melyik verziója volt az egyes alkalmazásokban.

Számos érintett alkalmazás tárolja és továbbítja a felhasználói hitelkártya-adatokat, ideértve a következőket az Alibaba.com mobilalkalmazás, KYBankAgent 3.0és Revo étterem értékesítési pontja. Több millió felhasználónak van sebezhető alkalmazása telepítve az iOS-eszközére - ez egy lenyűgöző expozíció egy ilyen rövid hiba miatt.

„5% -nál vagy kb. 1000 alkalmazásnál volt hibája. Fontosak ezek az alkalmazások? Összehasonlítottuk őket a rangsorunk adataival és találtunk néhány nagy szereplőt: Yahoo!, Microsoft, Uber, Citrix stb. Lenyűgöz bennünket, hogy egy nyílt forráskódú könyvtár, amely csak 6 hétig mutatott be biztonsági hibát, ki volt téve Több millió a felhasználók támadására. ”

A program hatásának felmérése AFNetworking Bug

Mennyire rossz ez a sebezhetőség? A hiba lehetővé teszi a támadók számára, hogy becsapják az alkalmazásokat arra gondolva, hogy biztonságos kapcsolaton keresztül kommunikálnak egy megbízható szerverrel. Ha sebezhető alkalmazást használ, bárki, aki ugyanazon a WiFi hálózaton van, amellyel beállíthatja a ember-közép támadás Mi az a középtámadó támadás? A biztonsági zárószó magyarázataHa hallottál a „középső ember” támadásokról, de nem vagy biztos abban, hogy ez mit jelent, ez a cikk az Ön számára. Olvass tovább és elfoghatja az alkalmazások adatait, ideértve az érzékeny adatokat, például a hitelkártya-információkat. Ezt az információt ezután felhasználhatják a megkönnyítésre személyazonosság-lopás A digitális személyazonosság-lopás 6 figyelmeztető jele, amelyet nem szabad figyelmen kívül hagyniA személyazonosság-lopás manapság nem ritka, de gyakran csapdába esünk, amikor azt gondoljuk, hogy mindig "valaki mással" fog történni. Ne hagyja figyelmen kívül a figyelmeztető táblákat. Olvass tovább és a csalás egyéb formái. Lehetséges, hogy az ilyen típusú támadások automatizálhatók a népszerű alkalmazások célzására.

081.203-N-2147L-390

A hír megjelenése óta számos cég - köztük a Microsoft és a Yahoo - rohantak ki frissítéseket és javításokat. A legtöbb alkalmazás azonban változatlan marad. A SourceDNA kereső eszköz segítségével megtudhatja, hogy az érintett alkalmazásokat érinti-e. Ha azt tapasztalja, hogy az egyik alkalmazás még mindig sebezhető, a legbiztosabb stratégia az ideiglenes törlés, és üzenet küldése a fejlesztőknek, hogy kérjenek minél előbb egy javítást.

A SourceDNA egy okos eszköz, és ez azt mutatja, hogy technológiájuk valóban hasznos. A számítógépes biztonság nehéz, és egy eszköz, amely képes automatizálni a még nem küldött hibák keresését - akár a fejlesztői együttműködéssel, akár anélkül - óriási nyereséget jelent a felhasználói biztonság szempontjából. Ilyen ellenőrzés nélkül ez a széles körben elterjedt hiba fennmaradhat, valószínűleg hosszú ideig. Ez a fajta elemzés lehetővé teszi a tömeges nyilvános szégyenkezést, ami sokkal felelősebbé teszi a fejlesztőket, és valószínűnek tűnik, hogy a SourceDNA további fel nem fedezett és megoldatlan problémákat fedez fel.

Az AFNetworking hiba befolyásolja iOS-eszközét? Izgatottak ezek az új elemző eszközök? Tudassa velünk a megjegyzésekben!

Kép-jóváírások: “Az amerikai haditengerészet számítógépes háborúja”,„ IPhone eleje ”,iPhone kamera“, Írta a Wikimedia

A délnyugati székhelyű író és újságíró garantáltan 50 Celsius-fokig képes működni, és tizenkét láb mélységig vízálló.