Oglas

SourceDNA, platforma za analitično kodo, ki pregleduje aplikacije za Android in iOS, je nedavno objavila poročilo, v katerem je navedla da ima več kot 1.000 aplikacij za iOS resno varnostno ranljivost, ki lahko ogrozi finančno stanje uporabnika podrobnosti.

Napaka preprečuje pravilno preverjanje pristnosti aplikacij SSL potrdila Kaj je SSL potrdilo in ga potrebujete?Brskanje po internetu je lahko strašljivo, če gre za osebne podatke. Preberi več , odpiranje aplikacij do številnih napadov "človek-v sredini". Čeprav ta aplikacija ne vpliva na varnost samega iOS-a Varnost pametnih telefonov: Ali lahko iPhone dobi zlonamerno programsko opremo?Zlonamerna programska oprema, ki vpliva na "tisoče" iPhonov, lahko ukrade poverilnice App Store, vendar je večina uporabnikov iOS-a popolnoma varnih - torej kaj je s programsko opremo iOS in lopov? Preberi več , lahko ogrozi uporabniške podatke, ki se prenašajo prek prizadetih aplikacij ...

Preprosta napaka, ki pretrga SSL

iphonefront

The napaka je v paketu AFNetworking, priljubljeni odprtokodni mrežni rešitvi, ki se uporablja v tisočih aplikacijah App Store. Napaka je preprosta logična napaka, ki zaustavi preverjanje SSL, da se dejansko zgodi, in vrne vse preglede potrdil kot veljavne. To ni množična varnostna nesreča

instagram viewer
Srčno krvavitev Srčno srce - kaj lahko storite, da ostanete varni? Preberi več ali ShellShock Še huje od srca? Spoznajte ShellShock: Nova varnostna grožnja za OS X in Linux Preberi več - vendar je težava, če uporabljate aplikacijo, ki vsebuje hrošče. Na srečo je hrošče obstajalo le približno šest tednov, dodali so ga v 2.5.1 in odpravili v 2.5.2. Lahko upravičeno domnevate, da je to konec zgodbe.

Žal ne.

Na žalost mnogi razvijalci svojih aplikacij ne posodabljajo redno s popravki napak, in obstajajo kup aplikacij, ki še vedno uporabljajo prekinjeno različico AFNetworkinga, kljub razpoložljivosti obliž. SourceDNA je analizirala 20.000 aplikacij, ki vsebujejo različice paketa AFNetworking, in ugotovila, da približno 1000 še vedno uporablja prekinjeni SSL ček.

iphoneback

SourceDNA je to preverjanje lahko opravila z analitičnimi orodji, ki omogočajo analizo binarnih datotek na tisoče aplikacij. Njihova tehnologija jim omogoča, da ne določijo samo, s katerimi knjižnicami so bile te aplikacije sestavljene, ampak tudi iz katerih različice teh knjižnic. Kot kaže, je to neverjetno koristno za prepoznavanje, na katere aplikacije lahko vplivajo znane napake in ranljivosti. Glede na objavljeni papir je dr.

»SourceDNA je ustvarila iz njih različen prstni odtis, da bi našli ranljivo kodo. Zamislite si to kot nabor edinstvenih lastnosti, ki so bile prisotne ali odsotne samo v ciljni različici in ne v drugih pred ali po njej. S tem naborom podpisov nam bo naš analizator natančno povedal, katera različica AFNetworking je bila uporabljena v vsaki aplikaciji.

Številne prizadete aplikacije shranjujejo in prenašajo podatke uporabniške kreditne kartice, vključno the Mobilna aplikacija Alibaba.com, KYBankAgent 3.0, in Prodajno mesto restavracije Revo. Več milijonov uporabnikov ima na svoji napravi iOS nameščeno ranljivo aplikacijo - presenetljiva količina izpostavljenosti tako kratke napake.

»5% ali približno 1.000 aplikacij je imelo napako. Ali so te aplikacije pomembne? Primerjali smo jih s podatki o naših rangih in našli nekaj velikih igralcev: Yahoo!, Microsoft, Uber, Citrix itd. Preseneti nas, da je bila odprta knjižnica, ki je samo 6 tednov izpostavljena varnostni pomanjkljivosti milijonov uporabnikov za napad. "

Ocenjevanje učinka AFNetworking Bug

Kako slaba je ta ranljivost? Hrošček omogoča napadalcem, da preslepijo aplikacije, da mislijo, da komunicirajo prek varne povezave z zaupanja vrednim strežnikom. Če uporabljate ranljivo aplikacijo, lahko vsi v istem omrežju WiFi, ki jih lahko nastavite napad človeka v sredini Kaj je napad človeka v sredini? Pojasnjen varnostni žargonČe ste slišali za napade "človek v sredini", vendar niste povsem prepričani, kaj to pomeni, je to članek za vas. Preberi več in prestrezanje informacij iz aplikacij, vključno z občutljivimi podatki, kot so podatki o kreditni kartici. Te podatke bi nato lahko uporabili za lažje izvajanje kraja identitete 6 Opozorilni znaki kraje digitalne identitete, ki je ne smete prezretiKraja identitete v teh dneh ni preveč redka pojavnost, vendar pogosto pademo v past misli, da se bo vedno zgodilo "nekomu drugemu". Ne prezrite opozorilnih znakov. Preberi več in druge oblike prevare. Morebiti bi lahko tovrstni napad avtomatizirali za ciljanje na priljubljene aplikacije.

081203-N-2147L-390

Od prekinitve novic so številna podjetja poskočila na posodobitve in popravke, med njimi Microsoft in Yahoo. Večina programov pa ostaja nepovezana. Če želite preveriti, ali vplivajo aplikacije, ki jih uporabljate, lahko uporabite iskalno orodje SourceDNA. Če odkrijete, da je ena od vaših programov še vedno ranljiva, je najvarnejša strategija, da jo začasno izbrišete in sporoči razvijalcem, naj jih čim prej odstranijo.

SourceDNA je pametno orodje in to dokazuje, da je njihova tehnologija resnično uporabna. Računalniška varnost je težka, orodje, ki lahko avtomatizira postopek iskanja neprimernih napak - s sodelovanjem razvijalcev ali brez njih - je velikanski užitek za varnost uporabnikov. Brez takšnega preverjanja bi ta razširjena hroščnost vztrajala, verjetno še kar dolgo. Tovrstna analiza omogoča množično javno sramovanje, zaradi česar so razvijalci veliko bolj odgovorni, in zdi se verjetno, da bo SourceDNA odkrila nadaljnje neodkrite in nerešene težave.

Na vašo napravo iOS vpliva napaka AFNetworking? Ali ste navdušeni nad temi novimi orodji za analitiko? Sporočite nam v komentarjih!

Slikovni sliki: “Kibernetska vojna ZDA, "" Sprednja stran iPhone, "Kamera iPhone", Wikimedia

Andre je pisatelj in novinar s jugozahoda zajamčeno, da bo ostal funkcionalen do 50 stopinj Celzija in je vodoodporen do globine dvanajst metrov.