SourceDNA, una piattaforma di analisi del codice che controlla app Android e iOS, ha recentemente pubblicato un rapporto che indica che oltre 1.000 app iOS presentano una seria vulnerabilità alla sicurezza che potrebbe compromettere i dettagli finanziari dell'utente.
Il bug impedisce alle app di autenticare correttamente i certificati SSL Cos'è un certificato SSL e ne hai bisogno? Cos'è un certificato SSL e ne hai bisogno? Navigare su Internet può essere spaventoso quando sono coinvolte informazioni personali. Leggi di più, aprendo le app a un numero di attacchi man-in-the-middle. Mentre questa applicazione non influisce sulla sicurezza di iOS stesso Smartphone Security: iPhone può ottenere malware? Smartphone Security: gli iPhone possono ottenere malware? I malware che colpiscono "migliaia" di iPhone possono rubare le credenziali di App Store, ma la maggior parte degli utenti iOS sono perfettamente al sicuro - quindi qual è il problema con iOS e il software canaglia? Leggi di più, potrebbe compromettere i dati degli utenti trasmessi attraverso le app interessate ...
Un semplice bug che interrompe SSL
Il bug in questione si trova nel pacchetto AFNetworking, una famosa soluzione di rete open source utilizzata in migliaia di app dell'App Store. Il bug è un semplice errore logico che interrompe il controllo SSL dal momento in cui si sta verificando, restituendo tutti i controlli del certificato come validi. Questo non è un enorme disastro per la sicurezza come HeartBleed Heartbleed: cosa puoi fare per restare al sicuro? Heartbleed: cosa puoi fare per restare al sicuro? Per saperne di più o ShellShock Peggio di Heartbleed? Conoscere ShellShock: una nuova minaccia per la sicurezza per OS X e Linux Peggio di Heartbleed? Scopri ShellShock: una nuova minaccia per la sicurezza per OS X e Linux Leggi di più - ma è un problema se usi un'app che contiene il bug. Fortunatamente, il bug è esistito solo per circa sei settimane, aggiunto in 2.5.1 e corretto in 2.5.2. Si potrebbe ragionevolmente presumere che sia la fine della storia.
Sfortunatamente no.
Purtroppo, molti sviluppatori non mantengono attive le loro app aggiornate con correzioni di bug, e ci sono un sacco di app che utilizzano ancora la versione non funzionante di AFNetworking, nonostante la disponibilità di una patch. SourceDNA ha analizzato 20.000 app che contengono versioni del pacchetto AFNetworking e ha rilevato che circa 1.000 utilizzano ancora il controllo SSL danneggiato.
SourceDNA è stato in grado di eseguire questo controllo utilizzando strumenti di analisi che consentono di analizzare i file binari di migliaia di app. La loro tecnologia consente loro di identificare non solo le librerie con cui sono state compilate queste app, ma quali versioni di tali librerie. A quanto pare, questo è incredibilmente utile per identificare quali app possono essere influenzate da bug e vulnerabilità noti. Secondo il documento pubblicato,
"SourceDNA ha creato un'impronta differenziale da loro per trovare il codice vulnerabile. Consideralo come un insieme di caratteristiche uniche che erano presenti o assenti solo nella versione mirata e non in altre prima o dopo di essa. Con questo set di firme, il nostro motore di analisi ci diceva esattamente quale versione di AFNetworking era in uso in ogni app. “
Molte delle app interessate memorizzano e trasmettono i dati delle carte di credito degli utenti, tra cui l'app mobile Alibaba.com, KYBankAgent 3.0 e Revo Restaurant Point of Sale. Diversi milioni di utenti hanno un'app vulnerabile installata sul proprio dispositivo iOS, una quantità sorprendente di esposizione da un bug così breve.
"Il 5% o circa 1.000 app ha avuto il difetto. Queste app sono importanti? Li abbiamo confrontati con i nostri dati di classifica e abbiamo trovato alcuni grandi giocatori: Yahoo !, Microsoft, Uber, Citrix, ecc. Ci stupisce che una libreria open source che ha introdotto un difetto di sicurezza per sole 6 settimane ha esposto milioni di utenti all'attacco ".
Valutare l'impatto del bug di AFNetworking
Quanto è grave questa vulnerabilità? Il bug consente agli aggressori di ingannare le app nel pensare che stiano comunicando tramite una connessione protetta con un server affidabile. Se utilizzi un'app vulnerabile, chiunque si trovi sulla stessa rete Wi-Fi in cui puoi impostare un attacco man-in-the-middle Cos'è un attacco Man-in-the-Middle? Il gergo della sicurezza ha spiegato cos'è un attacco man-in-the-middle? Il gergo della sicurezza ha spiegato Se hai sentito parlare di attacchi "man-in-the-middle" ma non sei sicuro di cosa significhi, questo è l'articolo che fa per te. Leggi di più e intercetta le informazioni dalle app, compresi i dati sensibili come le informazioni sulla carta di credito. Queste informazioni potrebbero quindi essere utilizzate per facilitare il furto di identità 6 Segnali di pericolo di furto di identità digitale che non dovresti ignorare 6 Segnali di pericolo di furto di identità digitale che non dovresti ignorare Il furto di identità non è troppo raro in questi giorni, tuttavia spesso cadere nella trappola di pensare che succederà sempre a "qualcun altro". Non ignorare i segnali di pericolo. Leggi di più e altre forme di frode. Potenzialmente, questo tipo di attacco potrebbe essere automatizzato per indirizzare le app più popolari.
Un certo numero di aziende hanno scaricato gli aggiornamenti e le correzioni da quando le notizie si sono interrotte, tra cui Microsoft e Yahoo. La maggior parte delle app, tuttavia, rimane priva di patch. Per vedere se le app che usi sono interessate, puoi usare lo strumento di ricerca di SourceDNA. Se scopri che una delle tue app è ancora vulnerabile, la strategia più sicura è quella di eliminarla temporaneamente e invia un messaggio agli sviluppatori chiedendo loro di pubblicare una patch il prima possibile.
SourceDNA è uno strumento intelligente e questo dimostra che la loro tecnologia è davvero utile. La sicurezza del computer è difficile e uno strumento in grado di automatizzare il processo di ricerca di bug privi di patch, con o senza la cooperazione tra sviluppatori, rappresenta un enorme vantaggio per la sicurezza degli utenti. Senza questo tipo di controllo, questo bug diffuso sarebbe persistito, probabilmente per un periodo piuttosto lungo. Questo tipo di analisi consente al pubblico pubblico di vergognarsi che rende gli sviluppatori molto più responsabili, e sembra probabile che SourceDNA scoprirà ulteriori problemi non rilevati e irrisolti.
Il tuo dispositivo iOS è affetto dal bug di AFNetworking? Sei eccitato da questi nuovi strumenti di analisi? Fateci sapere nei commenti!
Crediti immagine: "US Navy Cyberwarfare", "iPhone front", "iPhone camera", di Wikimedia