Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Новости IT В тысяче приложений на iOS найдена уязвимость [обновлено] RSS

В тысяче приложений на iOS найдена уязвимость [обновлено]

Текущий рейтинг: 5 (проголосовало 7)
 Посетителей: 1676 | Просмотров: 1987 (сегодня 0)  Шрифт: - +

Оринигал от 22.04.15.

Около тысячи приложений на мобильной операционной системе iOS оказались незащищёнными перед атаками типа «человек посередине» (man-in-the-middle) благодаря связанной с протоколом HTTPS уязвимости одной из сторонних библиотек. Она позволяет посторонним в ненадёжных беспроводных сетях, при взломе маршрутизаторов и другими методами получить доступ к персональной информации пользователей, включая сведения о банковских аккаунтах.

Все затронутые приложения используют являющуюся общедоступной сетевую библиотеку AFNetworking 2.5.1. Уязвимая версия была выпущена 9 февраля и 25 марта была обновлена до версии 2.5.2.

*

Уязвимость действует при вызове библиотеки приложением в процессе установки соединения HTTPS через протоколы SSL/TSL и относится к процедуре проверки сертификата SSL. Из-за ошибки проверка сертификата в версии 2.5.1 не выполняется и злоумышленник может послать поддельный сертификат, который будет принят. При этом не используется метод Certificate Pinning, следящий за тем, чтобы для зашифрованного соединения использовался только один сертификат.

Компания SourceDNA проанализировала около 100 тысяч использующих библиотеку приложений, из них 20 тысяч были обновлены или выпущены в тот промежуток времени, пока библиотека не была обновлена. Из этих 20 тысяч 55% использовали версию 2.5.0, ещё 40% не использовали уязвимый API, так что уязвимыми оказались 5% приложений.

В сумме приложения были скачаны несколько миллионов раз, в их число входят программы Movies by Flixster, Alibaba.com, Amazon, OneDrive, KYBankAgent, приложений от Yahoo и Microsoft. Проверить приложения на наличие уязвимости разработчики могут в базе данных SourceDNA.

Добавлено 28.04.15: SourceDNA сообщает, что в версии AFNetworking 2.5.2 также была найдена аналогичная уязвимость, и её потенциальными жертвами являются 25 тысяч iOS-приложений. 20 апреля была выпущена закрывающая уязвимость версия AFNetworking 2.5.3.

Автор: Алексей Алтухов  •  Иcточник: pcworld.com  •  Опубликована: 28.04.2015
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.