MacRumors

Skip to Content

76 популярных приложений уязвимы к перехвату данных, предупреждает исследователь безопасности iOS

R Ju2ljg

По данным отчета эксперта по безопасности, по меньшей мере 76 популярных приложений для iOS оказались уязвимы к перехвату данных.

Обнаружение было сделано сервисом сканирования бинарного кода приложений verify.ly и опубликовано в посте на Medium генеральным директором Sudo Security Group Уиллом Штрафахом, который сообщил, что приложения не использовали протокол защиты транспортного уровня (Transport Layer Security).

Протокол TLS обеспечивает безопасность связи между клиентом и сервером. Без этой защиты приложения подвержены перехвату данных злоумышленником, имеющим доступ к пользовательскому оборудованию, такому как модифицированный смартфон, который может быть использован для осуществления атак с внедрением TLS-сертификатов. Перехват возможен независимо от того, использовали ли разработчики функцию безопасности сетевых соединений Apple, App Transport Security.

Дело в том, что подобная атака может быть проведена любой стороной в пределах диапазона Wi-Fi от вашего устройства, пока оно используется. Это может произойти где угодно в общественных местах или даже у вас дома, если злоумышленник сможет приблизиться на достаточное расстояние.

Со стороны Apple нет возможного исправления, потому что если бы они переопределили эту функциональность в попытке заблокировать эту проблему безопасности, это сделало бы некоторые приложения iOS менее безопасными, так как они не смогли бы использовать закрепление сертификатов для своих соединений, и они не могли бы доверять недоверенным сертификатам, которые могут потребоваться для внутрисетевых соединений в корпоративной среде с использованием внутреннего PKI. Поэтому обязанность обеспечить, чтобы их приложения не были уязвимы, полностью лежит на самих разработчиках приложений.

Среди приложений из списка уязвимых были как популярные загрузки, такие как сторонние приложения Snapchat, официальное приложение Vice News, так и банковские приложения банков из Пуэрто-Рико и Ливии.

Штрафах разделил 76 приложений на категории низкого, среднего и высокого риска и сообщил, что связывается с разработчиками для исправления проблем, прежде чем раскрывать информацию о наиболее рискованных приложениях из списка. По словам Штрафаха, более 18 000 000 загрузок уязвимых версий приложений было совершено из App Store.

До тех пор, пока проблемы не будут устранены, Штрафах советует пользователям этих приложений избегать доступа к ним через Wi-Fi, так как через сотовую сеть эксплуатировать уязвимости сложнее.