76 Az IOS-alkalmazások érzékenyek a néma adatmeghallgatásra

A Verify.ly szolgáltatás, amely az iOS alkalmazás bináris kódját beolvassa az alkalmazással kapcsolatos biztonsági problémák észlelése érdekében, nyilvánosságra hozta, hogy 76 iOS alkalmazás, összesen 18 millió letöltéssel, nem védett a TLS által védett adatok csendes elfogása ellen.

A teszt során mind a 76 alkalmazás, beleértve több VPN-alkalmazást, böngészőalkalmazást, valamint a népszerű Vice News alkalmazást is érzékenyen reagált a néma középhaladó támadásra, amely a felhasználói adatokat veszélyezteti.

A biztonsági rés lehetővé teszi a támadó számára, hogy könnyen elfogja és kezelje a felhasználói adatokat.

“Rendszerünk több száz alkalmazást jelölt meg, amelyek nagy valószínűséggel érzékenyek az adatok lehallgatására. Teljes mértékben meg tudtam erősíteni (az alkalmazás sebezhetőségét) egy iOS 10-et futtató élő iPhone és egy „rosszindulatú” proxy segítségével, hogy érvénytelen TLS-tanúsítványt illessek be a teszteléshez a kapcsolatba ”- írta Will Strafach, a Verify.ly alapítója.

A jelentés rámutatott, hogy ezek közül a veszélyeztetett iOS-alkalmazások közül 33 alacsony kockázatú, 24 közepes kockázatú és 19 magas kockázatú.

Míg az alacsony és közepes kockázatú alkalmazások nem voltak érzékenyek a bizalmas felhasználói adatok megrontására, amelyek károsak lehetnek, 19 a magas kockázatú alkalmazások közül a legkevésbé veszélyeztetettnek tekintik a pénzügyi vagy orvosi szolgáltatások bejelentkezési adatainak továbbítását.

Legtöbben azt állítják, hogy az ilyen támadásokhoz az eszköznek ugyanannak az internet-kapcsolatnak - általában nyilvános Wi-Fi-kapcsolatnak - kell lennie, mint a támadóé, de ez nem teljesen igaz.

„Az igazság az, hogy ezt a támadást bármilyen fél végrehajthatja az eszközének Wi-Fi hatósugarán belül, amíg az használatban van. Ez bárhol lehet a nyilvános helyiségben, vagy akár otthonában is, ha a támadó közelébe juthat. ”- tette hozzá Strafach.

Ez az első alkalom, hogy az iOS alkalmazásokban ilyen jellegű sebezhetőséget fedeztek fel. Néhány megnevezésként az iOS-alkalmazások, például a Kaspersky Safe Browser, az Experian és a Dell SecureWorks hasonló biztonsági résekkel küzdenek.

"Sok ilyen probléma merül fel azzal, hogy egy alkalmazásfejlesztő nem ismeri teljesen az internetről kölcsönvett kódot" - tette hozzá.

A jelentés arra is rámutat, hogy a bizalmas információk biztonságának megőrzése érdekében a Wi-Fi kikapcsolása és a mobil adatok használata a tranzakció végrehajtásához a bankszámlájára történő bejelentkezéshez vagy az egyenleg ellenőrzéséhez javasolt, mivel a mobiltelefon-internetkapcsolatok viszonylag nehezebbek.