Advertentie
SourceDNA, een code-analyseplatform dat Android- en iOS-apps controleert, heeft onlangs een rapport uitgebracht met daarin dat meer dan 1.000 iOS-apps een ernstig beveiligingslek hebben dat de financiële middelen van een gebruiker in gevaar kan brengen details.
De bug voorkomt dat de apps correct worden geverifieerd SSL-certificaten Wat is een SSL-certificaat en heeft u er een nodig?Surfen op internet kan eng zijn als het om persoonlijke informatie gaat. Lees verder , waardoor de apps worden geopend voor een aantal man-in-the-middle-aanvallen. Hoewel deze app geen invloed heeft op de beveiliging van iOS zelf Smartphone-beveiliging: kunnen iPhones malware krijgen?Malware die 'duizenden' iPhones treft, kan de gegevens van de App Store stelen, maar de meeste iOS-gebruikers zijn volkomen veilig - dus wat is er aan de hand met iOS en frauduleuze software? Lees verder , kan het gebruikersgegevens in gevaar brengen die worden verzonden via getroffen apps ...
Een simpele bug die SSL breekt
De bug in kwestie zit in het AFNetworking-pakket, een populaire open-source netwerkoplossing die wordt gebruikt in duizenden App Store-apps. De bug is een eenvoudige logische fout die ervoor zorgt dat de SSL-controle niet echt plaatsvindt, waardoor alle certificaatcontroles als geldig worden geretourneerd. Dit is geen grootschalige beveiligingsramp HeartBleed Heartbleed - Wat kunt u doen om veilig te blijven? Lees verder of ShellShock Erger dan Heartbleed? Maak kennis met ShellShock: een nieuwe beveiligingsdreiging voor OS X en Linux Lees verder - maar het is een probleem als je een app gebruikt die de bug bevat. Gelukkig bestond de bug slechts ongeveer zes weken, toegevoegd in 2.5.1 en opgelost in 2.5.2. Je mag redelijkerwijs aannemen dat dit het einde van het verhaal is.
Helaas niet.
Helaas houden veel ontwikkelaars hun apps niet actief up-to-date met bugfixes, en er zijn er een aantal apps die nog steeds de kapotte versie van AFNetworking gebruiken, ondanks de beschikbaarheid van een patch. SourceDNA analyseerde 20.000 apps die versies van het AFNetworking-pakket bevatten en stelde vast dat ongeveer 1.000 nog steeds de verbroken SSL-controle gebruiken.
SourceDNA kon deze controle uitvoeren met behulp van analysetools die het mogelijk maken om de binaire bestanden van duizenden apps te analyseren. Met hun technologie kunnen ze niet alleen identificeren met welke bibliotheken deze apps zijn samengesteld, maar met welke versies van die bibliotheken. Het blijkt dat dit ongelooflijk handig is om te identificeren welke apps mogelijk worden beïnvloed door bekende bugs en kwetsbaarheden. Volgens het vrijgegeven document,
“SourceDNA heeft van hen een differentiële vingerafdruk gemaakt om de kwetsbare code te vinden. Beschouw dit als een set unieke kenmerken die alleen aanwezig of afwezig waren in de beoogde versie en niet voor enigerlei andere ervoor of erna. Met deze set handtekeningen zou onze analyse-engine ons precies vertellen welke versie van AFNetworking in elke app in gebruik was. “
Veel van de getroffen apps slaan creditcardgegevens van gebruikers op en verzenden deze, waaronder de Alibaba.com mobiele app, KYBankAgent 3.0, en Revo Restaurant verkooppunt. Meerdere miljoenen gebruikers hebben een kwetsbare app op hun iOS-apparaat geïnstalleerd - een verbazingwekkende hoeveelheid blootstelling aan zo'n korte bug.
“5% of ongeveer 1.000 apps hadden de fout. Zijn deze apps belangrijk? We vergeleken ze met onze ranggegevens en vonden een aantal grote spelers: Yahoo!, Microsoft, Uber, Citrix, etc. Het verbaast ons dat een open-sourcebibliotheek die voor slechts 6 weken een beveiligingsfout introduceerde, werd blootgesteld miljoenen van gebruikers om aan te vallen. "
Het beoordelen van de impact van de AFNetworking Bug
Hoe erg is deze kwetsbaarheid? Door de bug kunnen aanvallers apps voor de gek houden door te denken dat ze communiceren via een beveiligde verbinding met een vertrouwde server. Als je een kwetsbare app gebruikt, kan iedereen op hetzelfde wifi-netwerk als je een man-in-the-middle-aanval Wat is een man-in-the-middle-aanval? Beveiligingsjargon uitgelegdAls je hebt gehoord van "man-in-the-middle" -aanvallen maar niet helemaal zeker weet wat dat betekent, dan is dit het artikel voor jou. Lees verder en onderschep informatie van de apps, inclusief gevoelige gegevens zoals creditcardgegevens. Deze informatie kan dan worden gebruikt om dit te vergemakkelijken identiteitsdiefstal 6 Waarschuwingssignalen van digitale identiteitsdiefstal die u niet mag negerenIdentiteitsdiefstal is tegenwoordig niet zo zeldzaam, maar toch lopen we vaak in de val door te denken dat het altijd met "iemand anders" zal gebeuren. Negeer de waarschuwingssignalen niet. Lees verder en andere vormen van fraude. Mogelijk kan dit soort aanvallen worden geautomatiseerd om populaire apps te targeten.
Sinds het nieuws uitbrak, hebben een aantal bedrijven updates en fixes doorgevoerd, waaronder Microsoft en Yahoo. De meeste apps blijven echter ongepatcht. Om te zien of de apps die u gebruikt worden beïnvloed, kunt u de SourceDNA-zoekfunctie gebruiken. Als u ontdekt dat een van uw apps nog steeds kwetsbaar is, is de veiligste strategie om deze tijdelijk te verwijderen en de ontwikkelaars een bericht te sturen met de vraag om zo snel mogelijk een patch uit te brengen.
SourceDNA is een slimme tool, en dit laat zien dat hun technologie echt nuttig is. Computerbeveiliging is moeilijk en een tool die het zoeken naar niet-gepatchte bugs kan automatiseren - met of zonder samenwerking met ontwikkelaars - is een enorme overwinning voor gebruikersbeveiliging. Zonder dit soort controle zou deze wijdverspreide bug waarschijnlijk al heel lang bestaan. Dit soort analyse maakt massale publieke shaming mogelijk die ontwikkelaars veel meer verantwoordelijk maakt, en het lijkt waarschijnlijk dat SourceDNA verdere onopgemerkte en onopgeloste problemen zal ontdekken.
Heeft uw iOS-apparaat last van de AFNetworking-bug? Ben je enthousiast over deze nieuwe analysetools? Laat het ons weten in de comments!
Afbeeldingscredits: "US Navy Cyberwarfare, "" IPhone voorkant, "iPhone-camera“, Door Wikimedia
Andre, een schrijver en journalist gevestigd in het zuidwesten, blijft gegarandeerd functioneel tot 50 graden Celcius en is waterdicht tot een diepte van twaalf voet.