Διαφήμιση
Το SourceDNA, μια πλατφόρμα ανάλυσης κώδικα που ελέγχει εφαρμογές Android και iOS, κυκλοφόρησε πρόσφατα μια αναφορά που δείχνει ότι περισσότερες από 1.000 εφαρμογές iOS έχουν σοβαρή ευπάθεια ασφαλείας που θα μπορούσε να θέσει σε κίνδυνο το οικονομικό του χρήστη Λεπτομέριες.
Το σφάλμα εμποδίζει τον σωστό έλεγχο ταυτότητας των εφαρμογών Πιστοποιητικά SSL Τι είναι ένα πιστοποιητικό SSL και χρειάζεστε ένα;Η περιήγηση στο Διαδίκτυο μπορεί να είναι τρομακτική όταν εμπλέκονται προσωπικές πληροφορίες. Διαβάστε περισσότερα , ανοίγοντας τις εφαρμογές σε μια σειρά από επιθέσεις man-in-the-middle. Ενώ αυτή η εφαρμογή δεν επηρεάζει το ασφάλεια του ίδιου του iOS Ασφάλεια smartphone: Μπορούν τα iPhone να λάβουν κακόβουλο λογισμικό;Το κακόβουλο λογισμικό που επηρεάζει "χιλιάδες" iPhone μπορεί να κλέψει διαπιστευτήρια του App Store, αλλά η πλειοψηφία των χρηστών iOS είναι απόλυτα ασφαλής - λοιπόν, τι συμβαίνει με το λογισμικό iOS και το απατεώνες; Διαβάστε περισσότερα , θα μπορούσε να θέσει σε κίνδυνο τα δεδομένα χρήστη που μεταδίδονται μέσω εφαρμογών που επηρεάζονται…
Ένα απλό σφάλμα που σπάει το SSL
ο εν λόγω σφάλμα περιλαμβάνεται στο πακέτο AFNetworking, μια δημοφιλής λύση δικτύωσης ανοιχτού κώδικα που χρησιμοποιείται σε χιλιάδες εφαρμογές App Store. Το σφάλμα είναι ένα απλό λογικό σφάλμα που εμποδίζει την πραγματοποίηση του ελέγχου SSL, επιστρέφοντας όλους τους ελέγχους πιστοποιητικών ως έγκυρους. Δεν είναι μια τεράστια καταστροφή ασφαλείας Καρδιά Αιμορραγία Heartbleed - Τι μπορείτε να κάνετε για να παραμείνετε ασφαλείς; Διαβάστε περισσότερα ή Νευρική διαταραχή Χειρότερο από το Heartbleed; Γνωρίστε το ShellShock: Μια νέα απειλή ασφαλείας για OS X και Linux Διαβάστε περισσότερα - αλλά είναι πρόβλημα εάν χρησιμοποιείτε μια εφαρμογή που περιέχει το σφάλμα. Ευτυχώς, το σφάλμα υπήρχε μόνο για περίπου έξι εβδομάδες, προστέθηκε στο 2.5.1 και διορθώθηκε στο 2.5.2. Ίσως να υποθέσετε ότι είναι το τέλος της ιστορίας.
Δυστυχώς όχι.
Δυστυχώς, πολλοί προγραμματιστές δεν διατηρούν ενεργά τις εφαρμογές τους ενημερωμένες με διορθώσεις σφαλμάτων και υπάρχουν πολλές εφαρμογές που εξακολουθούν να χρησιμοποιούν τη σπασμένη έκδοση του AFNetworking, παρά τη διαθεσιμότητα ενός κηλίδα. Το SourceDNA ανέλυσε 20.000 εφαρμογές που περιέχουν εκδόσεις του πακέτου AFNetworking και διαπίστωσε ότι περίπου 1.000 εξακολουθούν να χρησιμοποιούν τον σπασμένο έλεγχο SSL.
Το SourceDNA μπόρεσε να πραγματοποιήσει αυτόν τον έλεγχο χρησιμοποιώντας εργαλεία ανάλυσης που καθιστούν δυνατή την ανάλυση των δυαδικών αρχείων χιλιάδων εφαρμογών. Η τεχνολογία τους τους επιτρέπει να προσδιορίσουν όχι μόνο με ποιες βιβλιοθήκες έχουν δημιουργηθεί αυτές οι εφαρμογές, αλλά και με ποιες εκδόσεις αυτών των βιβλιοθηκών. Όπως αποδεικνύεται, αυτό είναι εξαιρετικά χρήσιμο για τον προσδιορισμό των εφαρμογών που ενδέχεται να επηρεαστούν από γνωστά σφάλματα και ευπάθειες. Σύμφωνα με το έγγραφο που κυκλοφόρησε,
«Το SourceDNA δημιούργησε ένα διαφορετικό δακτυλικό αποτύπωμα από αυτούς για να βρει τον ευάλωτο κώδικα. Σκεφτείτε το ως ένα σύνολο μοναδικών χαρακτηριστικών που υπήρχαν ή απουσίαζαν μόνο στη στοχευμένη έκδοση και όχι σε άλλα άτομα πριν ή μετά από αυτήν. Με αυτό το σύνολο υπογραφών, η μηχανή ανάλυσής μας θα μας έλεγε ακριβώς ποια έκδοση του AFNetworking χρησιμοποιήθηκε σε κάθε εφαρμογή. “
Πολλές από τις επηρεαζόμενες εφαρμογές αποθηκεύουν και μεταδίδουν δεδομένα πιστωτικής κάρτας χρήστη, συμπεριλαμβανομένων ο Εφαρμογή για κινητά Alibaba.com, KYBankAgent 3.0, και Σημείο πώλησης εστιατορίου Revo. Αρκετά εκατομμύρια χρήστες έχουν εγκαταστήσει μια ευάλωτη εφαρμογή στη συσκευή τους iOS - μια εκπληκτική ποσότητα έκθεσης από ένα τόσο σύντομο σφάλμα.
«Το 5% ή περίπου 1.000 εφαρμογές είχαν το ελάττωμα. Είναι σημαντικές αυτές οι εφαρμογές; Τα συγκρίναμε με τα δεδομένα κατάταξής μας και βρήκαμε μερικούς μεγάλους παίκτες: Yahoo!, Microsoft, Uber, Citrix κ.λπ. Μας εκπλήσσει ότι μια βιβλιοθήκη ανοιχτού κώδικα που παρουσίασε ένα ελάττωμα ασφαλείας για μόνο 6 εβδομάδες εκατομμύρια χρηστών για επίθεση. "
Αξιολόγηση του αντικτύπου του Σφάλμα δικτύου AF
Πόσο κακό είναι αυτό το θέμα ευπάθειας; Το σφάλμα επιτρέπει στους εισβολείς να ξεγελάσουν τις εφαρμογές να πιστεύουν ότι επικοινωνούν μέσω ασφαλούς σύνδεσης με έναν αξιόπιστο διακομιστή. Εάν χρησιμοποιείτε μια ευάλωτη εφαρμογή, οποιοσδήποτε βρίσκεται στο ίδιο δίκτυο WiFi με τον οποίο μπορείτε να ρυθμίσετε ένα man-in-the-middle επίθεση Τι είναι μια επίθεση Man-in-the-Middle; Επεξήγηση της ασφάλειας JargonΕάν έχετε ακούσει για επιθέσεις "man-in-the-middle" αλλά δεν είστε σίγουροι τι σημαίνει αυτό, αυτό είναι το άρθρο για εσάς. Διαβάστε περισσότερα και να παρακολουθούν πληροφορίες από τις εφαρμογές, συμπεριλαμβανομένων ευαίσθητων δεδομένων, όπως πληροφορίες πιστωτικών καρτών. Αυτές οι πληροφορίες θα μπορούσαν τότε να χρησιμοποιηθούν για να διευκολύνουν κλοπή ταυτότητας 6 προειδοποιητικά σημάδια κλοπής ψηφιακής ταυτότητας που δεν πρέπει να αγνοήσετεΗ κλοπή ταυτότητας δεν είναι πολύ σπάνια από αυτές τις μέρες, αλλά συχνά πέφτουμε στην παγίδα να σκεφτόμαστε ότι θα συμβεί πάντα σε "κάποιον άλλο". Μην αγνοείτε τα προειδοποιητικά σημάδια. Διαβάστε περισσότερα και άλλες μορφές απάτης. Ενδεχομένως, αυτό το είδος επίθεσης θα μπορούσε να αυτοματοποιηθεί για τη στόχευση δημοφιλών εφαρμογών.
Ορισμένες εταιρείες έσπευσαν ενημερώσεις και διορθώσεις από τότε που έσπασαν τα νέα, συμπεριλαμβανομένων των Microsoft και Yahoo. Ωστόσο, οι περισσότερες από τις εφαρμογές παραμένουν χωρίς αντιστοιχία. Για να δείτε εάν επηρεάζονται οι εφαρμογές που χρησιμοποιείτε, μπορείτε να χρησιμοποιήσετε το εργαλείο αναζήτησης SourceDNA. Εάν ανακαλύψετε ότι μία από τις εφαρμογές σας εξακολουθεί να είναι ευάλωτη, η ασφαλέστερη στρατηγική είναι να την διαγράψετε προσωρινά και να στείλετε μήνυμα στους προγραμματιστές ζητώντας τους να βάλουν μια ενημέρωση κώδικα το συντομότερο δυνατό.
Το SourceDNA είναι ένα έξυπνο εργαλείο και αυτό δείχνει ότι η τεχνολογία τους είναι πραγματικά χρήσιμη. Η ασφάλεια του υπολογιστή είναι δύσκολη και ένα εργαλείο που μπορεί να αυτοματοποιήσει τη διαδικασία αναζήτησης μη διορθωμένων σφαλμάτων - με ή χωρίς συνεργασία προγραμματιστή - είναι μια τεράστια νίκη για την ασφάλεια των χρηστών. Χωρίς αυτό το είδος ελέγχου, αυτό το διαδεδομένο σφάλμα θα είχε επιμείνει, πιθανώς για πολύ καιρό. Αυτό το είδος ανάλυσης επιτρέπει τη μαζική δημόσια ντροπή που κάνει τους προγραμματιστές πολύ πιο υπόλογους και φαίνεται πιθανό ότι το SourceDNA θα αποκαλύψει περαιτέρω μη εντοπισμένα και άλυτα προβλήματα.
Επηρεάζεται η συσκευή σας iOS από το σφάλμα AFNetworking; Είστε ενθουσιασμένοι από αυτά τα νέα εργαλεία ανάλυσης; Ενημερώστε μας στα σχόλια!
Πιστώσεις εικόνας: "Cyberwarfare του Πολεμικού Ναυτικού των ΗΠΑ, "" Μπροστά iPhone, "Κάμερα iPhone", Από το Wikimedia
Ένας συγγραφέας και δημοσιογράφος που εδρεύει στη Νοτιοδυτική πλευρά, ο Andre είναι εγγυημένος ότι θα παραμείνει λειτουργικός έως 50 βαθμούς Κελσίου και είναι αδιάβροχος σε βάθος δώδεκα ποδιών.
