76 IOS-sovellukset ovat alttiita hiljaiselle tietojen sieppaamiselle

Verify.ly -palvelu, joka skannaa iOS-sovelluksen binaarikoodin sovellukseen liittyvien tietoturvaongelmien havaitsemiseksi, on paljastanut, että 76 iOS-sovellusta, joiden yhteenlaskettu 18 miljoonaa latausta on suojattu TLS-suojattujen tietojen hiljaiselta sieppaamiselta.

Testin aikana kaikkien 76 sovelluksen, mukaan lukien useita VPN-sovelluksia, selainsovelluksia sekä suositun Vice News -sovelluksen, havaittiin olevan haavoittuvia hiljaiselle keskitason hyökkäykselle, joka asettaa käyttäjätiedot vaaraan.

Tietoturvaloukkauksen avulla hyökkääjä voi helposti siepata ja käsitellä käyttäjätietoja.

”Järjestelmämme ilmoitti satojen sovellusten olevan alttiita tietojen sieppaamiselle. Pystyin vahvistamaan kokonaan (sovellusten haavoittuvuudet) käyttämällä iOS 10: ää käyttävää live-iPhonea ja ”haitallista” välityspalvelinta, jotta virheellinen TLS-varmenne lisättiin yhteyteen testausta varten ”, kirjoitti Verify.ly: n perustaja Will Strafach.

Raportin mukaan 33 näistä haavoittuvista iOS-sovelluksista kuului alhaisen riskin ryhmään, 24 keskitason ja 19 korkean riskin ryhmään.

Vaikka alhaisen ja keskitason riskiryhmän sovellukset eivät olleet alttiita luottamuksellisten käyttäjätietojen sieppaamiselle, jotka saattoivat vahingoittaa, 19: llä korkean riskin sovelluksista katsottiin olevan erittäin haavoittuvainen rahoitus- tai lääketieteellisten palveluiden kirjautumistietojen välittämisessä.

Useimmat väittävät, että tällaiset hyökkäykset tarvitsevat laitteen olevan samassa Internet-yhteydessä - yleensä julkisessa Wi-Fi-yhteydessä - kuin hyökkääjä, mutta se ei ole täysin totta.

"Tosiasia on, että tällaisen hyökkäyksen voi suorittaa kuka tahansa osapuoli, joka on laitteen Wi-Fi-alueella, kun se on käytössä. Tämä voi olla missä tahansa julkisessa paikassa tai jopa kotisi sisällä, jos hyökkääjä pääsee lähelle kantaa. ”Strafach lisää.

Tämä ei ole ensimmäinen kerta, kun tällainen haavoittuvuus paljastetaan iOS-sovelluksissa. Mainitakseni muutamia iOS-sovelluksia, kuten Kaspersky Safe Browser, Experian, Dell SecureWorks, olivat samanlaisia ​​haavoittuvuusongelmia.

"Monet tämän kaltaiset ongelmat johtuvat siitä, että sovelluskehittäjä ei ymmärrä täysin verkkosivulta lainattua koodia", hän lisäsi.

Raportissa huomautetaan myös, että luottamuksellisten tietojen suojaamiseksi suositellaan Wi-Fi-yhteyden katkaisemista ja solutietojen käyttöä kirjautumalla pankkitilillesi tapahtuman suorittamiseksi tai saldosi tarkistamiseksi, koska solukkoyhteyksiä on suhteellisen vaikeampi hakkeroida.