1500 приложений для iOS уязвимы к атакам злоумышленников

Обнаруженная в прошлом месяце уязвимость не была устранена и осталась в 1500 приложениях для iOS.

Серьезный недостаток в безопасности около 1500 приложений для iOS делает их уязвимыми, позволяя злоумышленникам похищать пароли, номера банковских счетов и другие конфиденциальные данные. Такой вывод сделали специалисты компании SourceDNA.

Брешь, которую эксперты SourceDNA обнаружили в прошлом месяце, была устранена посредством обновления. Однако некоторые разработчики приложений все еще не устранили уязвимость.

Брешь появилась с выходом в январе 2015 года новой версии AFNetworking - библиотеки, которая позволяет разработчикам снизить сетевые возможности приложения. Уязвимость позволяет осуществить атаку «человек посередине» и дает злоумышленникам доступ к данным, зашифрованным при помощи протокола HTTPS.

Для эксплуатации бреши злоумышленнику потребуется просто заменить SSL-сертификат, который используется устройством с уязвимым ПО для соединения с интернетом. При нормальных условиях поддельные идентификационные данные будут сразу же обнаружены и соединение будет разорвано. Однако из-за логической ошибки в программном коде версии 2.5.1 проверка подлинности никогда не осуществляется.

После обнаружения уязвимости специалисты SourceDNA проанализировали все 1,4 млн программ в App Store для того, чтобы проверить, остались ли уязвимые продукты. Оказалось, что в некоторых популярных приложениях, в том числе в Movies by Flixter и Rotten Tomatoes, разработчики все еще не устранили брешь.