SourceDNA, eine Code-Analyse-Plattform, die Android- und iOS-Apps prüft, veröffentlichte kürzlich einen Bericht, der darauf hinweist, dass mehr als 1.000 iOS-Apps eine schwerwiegende Sicherheitslücke aufweisen, die die finanziellen Details eines Nutzers gefährden könnte.
Der Fehler verhindert, dass die Apps SSL-Zertifikate korrekt authentifizieren. Was ist ein SSL-Zertifikat und brauchen Sie eines? Was ist ein SSL-Zertifikat, und brauchen Sie eines? Das Surfen im Internet kann beängstigend sein, wenn persönliche Informationen betroffen sind. Lesen Sie mehr und öffnen Sie die Apps für eine Reihe von Man-in-the-Middle-Angriffen. Während diese App die Sicherheit von iOS selbst nicht beeinträchtigt Smartphone Security: Können iPhones Malware bekommen? Smartphone-Sicherheit: Können iPhones Malware erhalten? Malware, die "Tausende" von iPhones betrifft, kann die App Store-Anmeldedaten stehlen, aber die Mehrheit der iOS-Nutzer ist vollkommen sicher - was ist also der Deal mit iOS- und Rogue-Software? Lesen Sie mehr, es könnte Benutzerdaten gefährden, die über betroffene Apps übertragen werden ...
Ein einfacher Bug, der SSL bricht
Der Fehler tritt im AFNetworking-Paket auf, einer beliebten Open-Source-Netzwerklösung, die in Tausenden von App Store-Apps verwendet wird. Der Fehler ist ein einfacher logischer Fehler, der das tatsächliche Auftreten der SSL-Prüfung verhindert und alle Zertifikatsprüfungen als gültig zurückgibt. Dies ist keine massive Sicherheitskatastrophe wie HeartBleed Heartbleed - Was können Sie tun, um sicher zu bleiben? Heartbleed - Was können Sie tun, um sicher zu bleiben? Lesen Sie mehr oder ShellShock schlimmer als Heartbleed? Treffen Sie ShellShock: Eine neue Sicherheitsbedrohung für OS X und Linux schlimmer als Heartbleed? Treffen Sie ShellShock: Eine neue Sicherheitsbedrohung für OS X und Linux Lesen Sie mehr - aber es ist ein Problem, wenn Sie eine App verwenden, die den Fehler enthält. Zum Glück existierte der Fehler nur für etwa sechs Wochen, in 2.5.1 hinzugefügt und in 2.5.2 behoben. Sie können vernünftigerweise davon ausgehen, dass das Ende der Geschichte ist.
Unglücklicherweise nicht.
Leider halten viele Entwickler ihre Apps nicht aktiv mit Bugfixes auf dem Laufenden und es gibt eine Reihe von Apps, die trotz der Verfügbarkeit eines Patches immer noch die kaputte Version von AFNetworking verwenden. SourceDNA analysierte 20.000 Apps, die Versionen des AFNetworking-Pakets enthalten, und stellte fest, dass immer noch etwa 1.000 die fehlerhafte SSL-Prüfung verwenden.
SourceDNA konnte diese Prüfung mit Hilfe von Analysetools durchführen, die es ermöglichen, die Binärdateien tausender Apps zu analysieren. Mit ihrer Technologie können sie nicht nur feststellen, mit welchen Bibliotheken diese Apps kompiliert wurden, sondern auch welche Versionen dieser Bibliotheken. Wie sich herausstellt, ist dies äußerst nützlich, um zu ermitteln, welche Apps von bekannten Fehlern und Sicherheitslücken betroffen sein könnten. Laut der Veröffentlichung,
"SourceDNA hat einen differenziellen Fingerabdruck von ihnen erstellt, um den anfälligen Code zu finden. Stellen Sie sich dies als eine Reihe einzigartiger Merkmale vor, die nur in der Zielversion vorhanden waren oder nicht vorhanden waren und keine anderen davor oder danach. Mit diesem Satz von Signaturen würde uns unsere Analyse-Engine genau sagen, welche Version von AFNetworking in jeder App verwendet wurde. "
Viele der betroffenen Apps speichern und übermitteln Nutzerkreditkartendaten, einschließlich der mobilen App Alibaba.com, KYBankAgent 3.0 und Revo Restaurant Point of Sale. Mehrere Millionen Nutzer haben eine anfällige App auf ihrem iOS-Gerät installiert - eine erstaunliche Menge an Erfahrung durch einen so kurzen Fehler.
"5% oder ungefähr 1.000 Apps hatten den Fehler. Sind diese Apps wichtig? Wir verglichen sie mit unseren Rangdaten und fanden einige große Spieler: Yahoo !, Microsoft, Uber, Citrix, etc. Es erstaunt uns, dass eine Open-Source-Bibliothek, die nur 6 Wochen lang einen Sicherheitsfehler einführte, Millionen von Benutzern Angriffen aussetzte. "
Bewerten der Auswirkungen des AFNetworking Bugs
Wie schlimm ist diese Sicherheitsanfälligkeit? Der Bug ermöglicht es Angreifern, Apps dahingehend zu täuschen, dass sie über eine sichere Verbindung mit einem vertrauenswürdigen Server kommunizieren. Wenn Sie eine anfällige App verwenden, kann jeder, der sich im selben WLAN-Netzwerk befindet, einen Man-in-the-Middle-Angriff einrichten. Was ist ein Man-in-the-Middle-Angriff? Sicherheitsjargon erklärt Was ist ein Man-in-the-Middle Angriff? Sicherheitsjargon erklärt Wenn Sie von "Man-in-the-Middle" -Angriffen gehört haben, aber nicht ganz sicher sind, was das bedeutet, ist dies der Artikel für Sie. Lesen Sie mehr und fangen Sie Informationen aus den Apps ab, einschließlich sensibler Daten wie Kreditkarteninformationen. Diese Informationen könnten dann verwendet werden, um Identitätsdiebstahl zu erleichtern 6 Warnzeichen des digitalen Identitätsdiebstahls sollten Sie nicht ignorieren 6 Warnsignale des digitalen Identitätsdiebstahls, den Sie nicht ignorieren sollten Identitätsdiebstahl ist heutzutage nicht allzu selten, aber wir oft in die Falle fallen zu denken, dass es immer "jemand anderem" passieren wird. Ignoriere die Warnzeichen nicht. Lesen Sie mehr und andere Formen von Betrug. Potenziell könnte diese Art von Angriff automatisiert werden, um auf beliebte Apps abzielen zu können.
Eine Reihe von Unternehmen haben seit dem Ende der Nachrichten Updates und Fixes veröffentlicht, einschließlich Microsoft und Yahoo. Die meisten Apps bleiben jedoch ungepatcht. Um festzustellen, ob die von Ihnen verwendeten Apps betroffen sind, können Sie das SourceDNA-Suchtool verwenden. Wenn Sie feststellen, dass eine Ihrer Apps weiterhin angreifbar ist, besteht die sicherste Strategie darin, sie vorübergehend zu löschen und den Entwicklern eine Nachricht zu senden, in der sie aufgefordert werden, so schnell wie möglich einen Patch zu veröffentlichen.
SourceDNA ist ein cleveres Werkzeug, und das zeigt, dass ihre Technologie wirklich nützlich ist. Computersicherheit ist schwer und ein Tool, das den Prozess der Suche nach ungepatchten Fehlern - mit oder ohne Entwicklerkooperation - automatisieren kann, ist ein großer Gewinn für die Benutzersicherheit. Ohne diese Art der Überprüfung hätte dieser weit verbreitete Fehler vermutlich noch lange Zeit Bestand gehabt. Diese Art der Analyse ermöglicht eine massive öffentliche Beschämung, die Entwickler viel mehr zur Rechenschaft zieht, und es ist wahrscheinlich, dass SourceDNA weitere unentdeckte und ungelöste Probleme entdecken wird.
Ist Ihr iOS-Gerät vom AFNetworking-Fehler betroffen? Sind Sie von diesen neuen Analysetools begeistert? Lass es uns in den Kommentaren wissen!
Bildnachweis: "US Navy Cyberwarfare", "iPhone Front, " iPhone Kamera ", von Wikimedia