В тысяче приложений на iOS найдена уязвимость [обновлено]

Оринигал от 22.04.15.

Около тысячи приложений на мобильной операционной системе iOS оказались незащищёнными перед атаками типа «человек посередине» (man-in-the-middle) благодаря связанной с протоколом HTTPS уязвимости одной из сторонних библиотек. Она позволяет посторонним в ненадёжных беспроводных сетях, при взломе маршрутизаторов и другими методами получить доступ к персональной информации пользователей, включая сведения о банковских аккаунтах.

Все затронутые приложения используют являющуюся общедоступной сетевую библиотеку AFNetworking 2.5.1. Уязвимая версия была выпущена 9 февраля и 25 марта была обновлена до версии 2.5.2.

Уязвимость действует при вызове библиотеки приложением в процессе установки соединения HTTPS через протоколы SSL/TSL и относится к процедуре проверки сертификата SSL. Из-за ошибки проверка сертификата в версии 2.5.1 не выполняется и злоумышленник может послать поддельный сертификат, который будет принят. При этом не используется метод Certificate Pinning, следящий за тем, чтобы для зашифрованного соединения использовался только один сертификат.

Компания SourceDNA проанализировала около 100 тысяч использующих библиотеку приложений, из них 20 тысяч были обновлены или выпущены в тот промежуток времени, пока библиотека не была обновлена. Из этих 20 тысяч 55% использовали версию 2.5.0, ещё 40% не использовали уязвимый API, так что уязвимыми оказались 5% приложений.

В сумме приложения были скачаны несколько миллионов раз, в их число входят программы Movies by Flixster, Alibaba.com, Amazon, OneDrive, KYBankAgent, приложений от Yahoo и Microsoft. Проверить приложения на наличие уязвимости разработчики могут в базе данных SourceDNA.

Добавлено 28.04.15: SourceDNA сообщает, что в версии AFNetworking 2.5.2 также была найдена аналогичная уязвимость, и её потенциальными жертвами являются 25 тысяч iOS-приложений. 20 апреля была выпущена закрывающая уязвимость версия AFNetworking 2.5.3.