1.000 iOS-Apps haben schwerwiegende SSL-Fehler Wie Sie überprüfen können, ob Sie betroffen sind
SourceDNA, eine Code-Analyse-Plattform, die Android- und iOS-Apps prüft, hat kürzlich einen Bericht veröffentlicht, aus dem hervorgeht, dass mehr als 1.000 iOS-Apps eine ernsthafte Sicherheitslücke aufweisen, die die finanziellen Details eines Benutzers beeinträchtigen könnte.
Der Fehler verhindert, dass die Apps SSL-Zertifikate ordnungsgemäß authentifizieren. Was ist ein SSL-Zertifikat und benötigen Sie eines? Was ist ein SSL-Zertifikat und benötigen Sie eines? Das Surfen im Internet kann unheimlich sein, wenn persönliche Informationen betroffen sind. Lesen Sie mehr, indem Sie die Apps für eine Reihe von Man-in-the-Middle-Angriffen öffnen. Diese App hat keinen Einfluss auf die Sicherheit von iOS selbst. Smartphone-Sicherheit: Können iPhones Malware erhalten? Smartphone-Sicherheit: Können iPhones Malware erhalten? Malware, von der "Tausende" von iPhones betroffen sind, kann App Store-Anmeldeinformationen stehlen, aber die Mehrheit der iOS-Benutzer ist absolut sicher - wie sieht es also mit iOS und Schurken-Software aus? Lesen Sie mehr, dies könnte die durch betroffene Apps übertragenen Benutzerdaten beeinträchtigen…
Ein einfacher Fehler, der SSL durchbricht
Der fragliche Fehler ist im AFNetworking-Paket enthalten, einer beliebten Open-Source-Netzwerklösung, die in Tausenden von App Store-Apps verwendet wird. Der Fehler ist ein einfacher Logikfehler, der die SSL-Prüfung tatsächlich verhindert und alle Zertifikatsüberprüfungen als gültig zurückgibt. Dies ist keine massive Sicherheitskatastrophe wie HeartBleed Heartbleed - Was können Sie tun, um sicher zu bleiben? Heartbleed - Was können Sie tun, um sicher zu bleiben? Lesen Sie mehr oder ShellShock ist schlimmer als Herzblut? Treffen Sie ShellShock: Eine neue Sicherheitsbedrohung für OS X und Linux, die schlimmer als Herzblut sind? Lernen Sie ShellShock kennen: Eine neue Sicherheitsbedrohung für OS X und Linux Weitere Informationen - Wenn Sie jedoch eine App verwenden, die den Fehler enthält, ist dies ein Problem. Glücklicherweise bestand der Fehler nur etwa sechs Wochen, wurde in 2.5.1 hinzugefügt und in 2.5.2 behoben. Sie könnten vernünftigerweise annehmen, dass dies das Ende der Geschichte ist.
Unglücklicherweise nicht.
Leider halten viele Entwickler ihre Apps nicht aktiv mit Fehlerbehebungen auf dem neuesten Stand. Es gibt eine Reihe von Apps, die trotz der Verfügbarkeit eines Patches immer noch die defekte Version von AFNetworking verwenden. SourceDNA analysierte 20.000 Apps, die Versionen des AFNetworking-Pakets enthalten, und stellte fest, dass etwa 1.000 immer noch die fehlerhafte SSL-Prüfung verwenden.
SourceDNA konnte diese Prüfung mithilfe von Analysewerkzeugen durchführen, mit denen die Binärdateien tausender Apps analysiert werden können. Mit ihrer Technologie können sie nicht nur ermitteln, mit welchen Bibliotheken diese Apps erstellt wurden, sondern mit welchen Versionen dieser Bibliotheken. Es stellt sich heraus, dass dies unglaublich nützlich ist, um herauszufinden, welche Apps von bekannten Fehlern und Schwachstellen betroffen sein können. Laut dem veröffentlichten Papier,
“SourceDNA erstellte einen differenziellen Fingerabdruck, um den anfälligen Code zu finden. Stellen Sie sich dies als eine Reihe einzigartiger Merkmale vor, die nur in der Zielversion vorhanden waren oder nicht und keine anderen davor oder danach. Mit diesem Satz von Signaturen würde uns unsere Analyse-Engine genau sagen, welche Version von AFNetworking in jeder App verwendet wurde. “
Viele der betroffenen Apps speichern und übertragen Benutzer-Kreditkartendaten, einschließlich der mobilen Alibaba.com-App, KYBankAgent 3.0 und Revo Restaurant Point of Sale. Mehrere Millionen Benutzer haben eine verwundbare App auf ihrem iOS-Gerät installiert - eine erstaunliche Menge an Informationen, die von einem so kurzen Fehler ausgehen.
“5% oder etwa 1.000 Apps hatten den Fehler. Sind diese Apps wichtig? Wir verglichen sie mit unseren Rangdaten und fanden einige große Player: Yahoo !, Microsoft, Uber, Citrix usw. Es ist erstaunlich, dass eine Open-Source-Bibliothek, die einen Sicherheitsfehler für nur 6 Wochen eingeführt hat, ausgesetzt wurde Millionen von Benutzern angreifen.”
Beurteilung der Auswirkungen des AFNetworking-Fehlers
Wie schlimm ist diese Sicherheitsanfälligkeit? Der Fehler ermöglicht es Angreifern, Apps dazu zu täuschen, dass sie über eine sichere Verbindung mit einem vertrauenswürdigen Server kommunizieren. Wenn Sie eine verwundbare App verwenden, können alle Personen, die sich in demselben WiFi-Netzwerk befinden wie die Man-in-the-Middle-Angriffe. Was ist ein Man-in-the-Middle-Angriff? Sicherheitsjargon erklärt Was ist ein Man-in-the-Middle-Angriff? Sicherheitsjargon erklärt Wenn Sie von "Man-in-the-Middle" -Angriffen gehört haben, sich aber nicht ganz sicher sind, was das bedeutet, ist dies der Artikel für Sie. Lesen Sie mehr und fangen Sie Informationen aus den Apps ab, einschließlich vertraulicher Daten wie Kreditkarteninformationen. Diese Informationen könnten dann zur Erleichterung des Identitätsdiebstahls verwendet werden. 6 Warnzeichen für einen digitalen Identitätsdiebstahl, die Sie nicht ignorieren sollten 6 Warnzeichen für einen digitalen Identitätsdiebstahl, den Sie nicht ignorieren sollten Identitätsdiebstahl ist heutzutage nicht zu selten ein Ereignis, und dennoch werden wir häufig verwendet in die Falle fallen zu denken, dass es immer "jemand anderem" passieren wird. Ignorieren Sie nicht die Warnzeichen. Lesen Sie mehr und andere Formen des Betrugs. Diese Art von Angriff könnte möglicherweise automatisiert werden, um beliebte Apps anzuvisieren.
Seit der Veröffentlichung der Nachrichten haben einige Unternehmen Updates und Korrekturen herausgeholt, darunter Microsoft und Yahoo. Die meisten Apps bleiben jedoch ungepatcht. Um festzustellen, ob die von Ihnen verwendeten Apps betroffen sind, können Sie das Suchwerkzeug SourceDNA verwenden. Wenn Sie feststellen, dass eine Ihrer Apps immer noch verwundbar ist, sollten Sie die Anwendung vorübergehend löschen und die Entwickler dazu auffordern, einen Patch so schnell wie möglich zu veröffentlichen.
SourceDNA ist ein cleveres Werkzeug, das zeigt, dass ihre Technologie wirklich nützlich ist. Computersicherheit ist hart und ein Werkzeug, das die Suche nach nicht gepatchten Fehlern automatisieren kann - mit oder ohne Zusammenarbeit mit Entwicklern - ist ein großer Gewinn für die Anwendersicherheit. Ohne diese Art von Überprüfung hätte dieser weit verbreitete Fehler wahrscheinlich lange Zeit bestanden. Diese Art von Analyse ermöglicht öffentliches öffentliches Shaming, was die Verantwortlichkeit der Entwickler deutlich erhöht, und es ist wahrscheinlich, dass SourceDNA weitere unentdeckte und ungelöste Probleme aufdeckt.
Ist Ihr iOS-Gerät von dem AFNetworking-Fehler betroffen? Sind Sie von diesen neuen Analysewerkzeugen begeistert? Lass es uns in den Kommentaren wissen!
Bildnachweise: “US Navy Cyberwarfare,” “iPhone Vorderseite, “iPhone Kamera“, von Wikimedia
Erfahren Sie mehr über: Computersicherheit, iOS, Sicherheitsverletzung, Smartphone-Sicherheit.