Analytická služba SourceDNA identifikovala približne 1500 aplikácií pre iPhone a iPad, pri používaní ktorých hrozí únik citlivých informácií, akými sú napríklad prihlasovacie meno a heslo. Vďaka chybe môže útočník získavať údaje odosielané medzi používateľom a serverom.
Chybu spôsobuje nesprávna implementácia HTTPS, šifrovanej nadstavby sieťového protokolu HTTP, ktorá umožňuje bezpečnú výmenu informácií. Ohrozené aplikácie používajú open-source knižnicu AFNetworking, ktorá vývojárom aplikácií umožňuje zabezpečovať internetovú komunikáciu. Chyba sa v knižnici AFNetworking objavila vo verzii 2.5.1. Napriek tomu, že chyba bola opravená pred tromi týždňami vo verzii 2.5.2. , veľké množstvo aplikácií ostáva ohrozených. Analýza z 1. apríla odhalila ešte stále približne 1000 ohrozených aplikácií. Ďalšia, z 18. apríla dokonca až 1500. Vývojári aplikácií pravdepodobne stále používajú knižnicu verzie 2.5.1 a nevedia o bezpečnostnej chybe, ktorá sa v nej nachádza.
Problém nastáva v momente, kedy aplikácia, ktorá používa knižnicu AFNetworking, overuje SSL certifikát poskytnutý serverom. Chyba spočíva v tom, že k reálnemu overeniu certifikátu nedôjde a aplikácia dôveruje aj podvrhnutým certifikátom. Za normálnych okolností by pritom dôverovala iba certifikátu vydanému pre daný server a všetky ostatné zamietla. Toto umožnuje útočníkom vykonať takzvaný man-in-the-middle útok. Napríklad na verejnej WiFi sieti útočník podstrčí podvodný certifikát, ktorý mu umožní monitorovať všetku komunikáciu medzi aplikáciou a serverom.
Ohrozenie sa týka iba aplikácií používajúcich knižnicu AFNetworking verzie 2.5.1. Aj v prípade, že užívateľ používa zraniteľnú aplikáciu, tá nemá bezpečnostné dôsledky pre operačný systém, ani na iné aplikácie.
Spoločnosť SourceDNA počas uplynulých štyroch týždňov nezverejnila zoznam ohrozených aplikácií, aby predišla útokom. Neverejne však informovala dotknutých vývojárov. Veľa vývojárov, medzi nimi napríklad Yahoo, Microsoft a Uber, už medzičasom aktualizovalo svoje aplikácie. SouceDNA teraz zverejnila vyhľadávací nástroj, kde si môžu používatelia overiť, či je ich aplikácia bezpečná. Spoločnosť bude zoznam priebežne aktualizovať.
Zdroj: ArsTechnica
(LH)