Propaganda
O SourceDNA, uma plataforma de análise de código que audita aplicativos para Android e iOS, lançou recentemente um relatório indicando que mais de 1.000 aplicativos iOS têm uma séria vulnerabilidade de segurança que pode comprometer o desempenho financeiro de um usuário detalhes.
O bug impede que os aplicativos sejam autenticados corretamente Certificados SSL O que é um certificado SSL e você precisa de um?Navegar na Internet pode ser assustador quando informações pessoais estão envolvidas. consulte Mais informação , abrindo os aplicativos para vários ataques man-in-the-middle. Embora este aplicativo não afete o segurança do próprio iOS Segurança em smartphones: os iPhones podem obter malware?O malware que afeta "milhares" de iPhones pode roubar credenciais da App Store, mas a maioria dos usuários do iOS é perfeitamente segura - então qual é o problema do iOS e do software invasor? consulte Mais informação , isso pode comprometer os dados do usuário transmitidos pelos aplicativos afetados ...
Um bug simples que quebra o SSL
o bug em questão está no pacote AFNetworking, uma solução popular de rede de código aberto usada em milhares de aplicativos da App Store. O bug é um erro lógico simples que impede a verificação SSL, retornando todas as verificações de certificado como válidas. Este não é um desastre de segurança maciço como Coração Heartbleed - O que você pode fazer para se manter seguro? consulte Mais informação ou Trauma pós guerra Pior do que Heartbleed? Conheça o ShellShock: uma nova ameaça de segurança para OS X e Linux consulte Mais informação - mas é um problema se você usar um aplicativo que contém o bug. Felizmente, o bug existiu por apenas cerca de seis semanas, adicionado em 2.5.1 e corrigido em 2.5.2. Você pode razoavelmente supor que este é o fim da história.
Infelizmente não.
Infelizmente, muitos desenvolvedores não mantêm seus aplicativos atualizados com correções de bugs, e há um vários aplicativos que ainda usam a versão quebrada do AFNetworking, apesar da disponibilidade de um fragmento. O SourceDNA analisou 20.000 aplicativos que contêm versões do pacote AFNetworking e determinou que cerca de 1.000 ainda estão usando a verificação SSL quebrada.
O SourceDNA conseguiu executar essa verificação usando ferramentas de análise que possibilitam analisar os arquivos binários de milhares de aplicativos. Sua tecnologia permite identificar não apenas com quais bibliotecas esses aplicativos foram compilados, mas quais versões dessas bibliotecas. Como se vê, isso é incrivelmente útil para identificar quais aplicativos podem ser afetados por bugs e vulnerabilidades conhecidas. De acordo com o artigo divulgado,
“O SourceDNA criou uma impressão digital diferencial a partir deles para encontrar o código vulnerável. Pense nisso como um conjunto de características únicas que estavam presentes ou ausentes apenas na versão de destino e não em outras antes ou depois dela. Com esse conjunto de assinaturas, nosso mecanismo de análise nos informava exatamente qual versão do AFNetworking estava em uso em cada aplicativo. “
Muitos dos aplicativos afetados armazenam e transmitem dados do cartão de crédito do usuário, incluindo a Aplicativo móvel Alibaba.com, KYBankAgent 3.0e Revo Restaurant Ponto de Venda. Vários milhões de usuários têm um aplicativo vulnerável instalado no dispositivo iOS - uma quantidade surpreendente de exposição a um bug tão breve.
“5% ou cerca de 1.000 aplicativos tiveram a falha. Esses aplicativos são importantes? Nós os comparamos com nossos dados de classificação e encontramos alguns grandes players: Yahoo!, Microsoft, Uber, Citrix, etc. Surpreende-nos que uma biblioteca de código aberto que introduziu uma falha de segurança por apenas 6 semanas exposta milhões de usuários para atacar. "
Avaliando o impacto do AFNetworking Bug
Quão ruim é essa vulnerabilidade? O bug permite que os invasores enganem os aplicativos e pensem que estão se comunicando por uma conexão segura com um servidor confiável. Se você estiver usando um aplicativo vulnerável, qualquer pessoa na mesma rede Wi-Fi que você pode configurar um ataque homem-no-meio O que é um ataque do tipo intermediário? Jargão de segurança explicadoSe você já ouviu falar em ataques "intermediários", mas não sabe ao certo o que isso significa, este é o artigo para você. consulte Mais informação e interceptar informações dos aplicativos, incluindo dados confidenciais, como informações de cartão de crédito. Esta informação pode então ser usada para facilitar roubo de identidade 6 sinais de alerta de roubo de identidade digital que você não deve ignorarNos dias de hoje, o roubo de identidade não é muito raro, mas muitas vezes caímos na armadilha de pensar que isso sempre acontece com "outra pessoa". Não ignore os sinais de alerta. consulte Mais informação e outras formas de fraude. Potencialmente, esse tipo de ataque pode ser automatizado para atingir aplicativos populares.
Várias empresas lançaram atualizações e correções desde a notícia, incluindo Microsoft e Yahoo. A maioria dos aplicativos, no entanto, permanece sem patch. Para ver se os aplicativos que você usa são afetados, você pode usar a ferramenta de pesquisa SourceDNA. Se você descobrir que um de seus aplicativos ainda está vulnerável, a estratégia mais segura é excluí-lo temporariamente e enviar uma mensagem aos desenvolvedores pedindo que façam um patch o mais rápido possível.
O SourceDNA é uma ferramenta inteligente, e isso demonstra que a tecnologia deles é realmente útil. A segurança do computador é difícil, e uma ferramenta que pode automatizar o processo de busca de bugs não corrigidos - com ou sem cooperação do desenvolvedor - é uma grande vitória para a segurança do usuário. Sem esse tipo de verificação, esse bug generalizado teria persistido, provavelmente por um longo tempo. Esse tipo de análise permite a vergonha do público em massa que torna os desenvolvedores muito mais responsáveis, e parece provável que o SourceDNA descubra outros problemas não detectados e não resolvidos.
Seu dispositivo iOS é afetado pelo bug do AFNetworking? Você está empolgado com essas novas ferramentas de análise? Deixe-nos saber nos comentários!
Créditos da imagem: "Guerra Cibernética da Marinha dos EUA, "" Frente do iPhone ",câmera para iPhone“, Por Wikimedia
Escritor e jornalista baseado no sudoeste, Andre tem a garantia de permanecer funcional até 50 graus Celsius e é à prova d'água até uma profundidade de nove metros.