В последние дни накопилось несколько сообщений о двух уязвимостях в системе безопасности: одна затрагивает примерно 1500 приложений iOS, а вторая — пользователей OS X, несмотря на попытки Apple исправить уязвимость в OS X 10.10.3.

Первая уязвимость в системе безопасности делает около 1500 приложений для iPhone и iPad уязвимыми для хакеров, которые могут использовать эту уязвимость для кражи паролей, данных банковских счетов и некоторой другой конфиденциальной информации, согласно Ars Technica. Обнаруженная компанией по анализу безопасности SourceDNA в прошлом месяце атака типа «человек посередине» была исправлена в обновлении 2.5.2 для AFNetworking, открытого кода, содержавшего уязвимость.

К сожалению, некоторые разработчики еще не обновились до последней версии кода, оставляя эти 1500 приложений открытыми и уязвимыми для атаки, которая «может расшифровать данные, зашифрованные с помощью HTTPS» и, по сути, позволяет любому, кто создает поддельную точку доступа Wi-Fi, получить доступ к данным пользователя в той же сети Wi-Fi. В результате SourceDNA просканировала и проанализировала большинство приложений в App Store на предмет уязвимости и даже создала инструмент поиска, чтобы выяснить, подвержено ли конкретное приложение риску.

В день объявления и исправления уязвимости быстрый поиск в SourceDNA показал, что около 20 000 приложений для iOS (из 100 000 приложений, использующих AFNetworking) содержали библиотеку AFNetworking и были обновлены или выпущены в App Store после фиксации уязвимого кода. Затем наша система просканировала эти приложения с помощью дифференциальных сигнатур, чтобы увидеть, какие из них действительно содержат уязвимый код.

Результаты? 55% имели старый, но безопасный код версии 2.5.0, 40% не использовали часть библиотеки, которая предоставляет SSL API, а 5%, или около 1000 приложений, имели уязвимость. Важны ли эти приложения? Мы сравнили их с нашими данными ранжирования и обнаружили несколько крупных игроков: Yahoo!, Microsoft, Uber, Citrix и т. д. Нас поражает, что библиотека с открытым исходным кодом, которая вводила уязвимость безопасности всего 6 недель, подвергла миллионы пользователей атаке.

Среди известных приложений, в настоящее время уязвимых для атаки типа «человек посередине», — Citrix OpenVoice Audio Conferencing [Прямая ссылка], мобильное приложение Alibaba [Прямая ссылка] и даже Movies by Flixster with Rotten Tomatoes [Прямая ссылка]. SourceDNA призывает пользователей проверять свои наиболее часто используемые приложения в своем инструменте поиска на предмет уязвимости и обещает удалять исправленные приложения и добавлять обнаруженные уязвимые по мере появления.

Другая уязвимость, названная «Rootpipe», датируется 2011 годом и известна уже некоторое время. Apple намеревалась исправить уязвимость Rootpipe в OS X 10.10.3 в начале этого месяца, хотя старые версии OS X оставались уязвимыми. Но, как сообщает Forbes, бывший агент АНБ Патрик Уордл обнаружил, что уязвимость по-прежнему присутствует на Mac с OS X 10.10.3, а также на более старых версиях.

Apple добавила дополнительные элементы управления доступом для предотвращения атак, но код Уордла все еще мог подключаться к уязвимому сервису и начинать перезапись файлов на его Mac. «У меня было искушение зайти в магазин Apple [сегодня днем] и попробовать на демонстрационных моделях – но я ограничился тестированием на своем личном ноутбуке (полностью обновленном/исправленном), а также на моей [виртуальной машине] с OS X 10.10.3. Оба сработали как по маслу», – сообщил Уордл FORBES по электронной почте. В своем блоге он написал, что его эксплойт был «новым, но тривиальным способом для любого локального пользователя повторно злоупотребить Rootpipe».

Обнаруженная в октябре прошлого года, уязвимость Rootpipe по сути позволяет создавать скрытый бэкдор в конкретной системе, открывая доступ к компьютеру для хакера после того, как он получит локальные привилегии на устройстве. Для эксплуатации уязвимости требуется физический доступ или ранее предоставленный удаленный доступ к целевой машине.

Совсем недавно Apple столкнулась с уязвимостью безопасности «FREAK» в своих системах, которая сделала все, от Apple TV до iPod touch, уязвимым для кражи конфиденциальной информации. Компания выпустила несколько исправлений безопасности на всех платформах в течение нескольких недель после обнаружения уязвимости, усилив безопасность и работая над успокоением общественного беспокойства. Относительно уязвимостей типа «человек посередине» в iOS и вновь появившейся уязвимости Rootpipe компания пока не давала комментариев.

Обновление: Фонд Alamofire Software Foundation опубликовал ответ на спор вокруг проблемы AFNetworking, опровергая заявления SourceDNA о количестве затронутых приложений, отмечая, что даже если приложение использовало уязвимую версию AFNetworking, оно не будет подвержено атаке, если связь осуществляется через HTTPS с SSL pinning.

Если ваше приложение обменивается данными по HTTPS и включает SSL pinning, оно не уязвимо для сообщений об атаках MitM

Значительная часть приложений, использующих AFNetworking, предприняла рекомендованный шаг по включению SSL pinning сертификатов или публичных ключей. Эти приложения не уязвимы для сообщений об атаках MitM.

Мэтт Томпсон из Alamofire сообщает MacRumors, что без попытки инициировать атаку типа «человек посередине», чего SourceDNA не делала, невозможно определить, уязвимо приложение или нет. Тем не менее, все разработчики, использующие AFNetworking в своих приложениях, должны немедленно обновиться до версии 2.5.3.