SourceDNA, một nền tảng phân tích mã kiểm tra các ứng dụng Android và iOS, gần đây đã phát hành một báo cáo chỉ ra rằng hơn 1.000 ứng dụng iOS có lỗ hổng bảo mật nghiêm trọng có thể ảnh hưởng đến chi tiết tài chính của người dùng.
Lỗi ngăn các ứng dụng xác thực chính xác chứng chỉ SSL, mở ứng dụng trước một số cuộc tấn công trung gian. Mặc dù ứng dụng này không ảnh hưởng đến tính bảo mật của bản thân iOS, nhưng nó có thể làm ảnh hưởng đến dữ liệu người dùng được truyền qua các ứng dụng bị ảnh hưởng ...
Một lỗi đơn giản phá vỡ SSL
Lỗi được đề cập là trong gói AFNetworking, một giải pháp mạng nguồn mở phổ biến được sử dụng trong hàng nghìn ứng dụng trên App Store. Lỗi này là một lỗi logic đơn giản ngăn quá trình kiểm tra SSL thực sự diễn ra, trả về tất cả các lần kiểm tra chứng chỉ là hợp lệ. Đây không phải là một thảm họa bảo mật lớn như HeartBleed hay ShellShock - nhưng nó là một vấn đề nếu bạn sử dụng một ứng dụng có chứa lỗi. May mắn thay, lỗi chỉ tồn tại trong khoảng sáu tuần, được bổ sung trong 2.5.1 và được sửa trong 2.5.2. Bạn có thể cho rằng đó là kết thúc của câu chuyện một cách hợp lý.
Thật không may, không.
Đáng buồn thay, nhiều nhà phát triển không tích cực cập nhật các bản sửa lỗi cho ứng dụng của họ và có rất nhiều ứng dụng vẫn đang sử dụng phiên bản AFNetworking bị hỏng, mặc dù đã có bản vá. SourceDNA đã phân tích 20.000 ứng dụng có chứa các phiên bản của gói AFNetworking và xác định rằng khoảng 1.000 vẫn đang sử dụng kiểm tra SSL bị hỏng.
SourceDNA đã có thể thực hiện kiểm tra này bằng cách sử dụng các công cụ phân tích giúp phân tích các tệp nhị phân của hàng nghìn ứng dụng. Công nghệ của họ cho phép họ không chỉ xác định những ứng dụng này được biên dịch bằng thư viện nào mà còn cả phiên bản của các thư viện đó. Hóa ra, điều này cực kỳ hữu ích để xác định ứng dụng nào có thể bị ảnh hưởng bởi các lỗi và lỗ hổng bảo mật đã biết. Theo tờ báo đã phát hành,
"SourceDNA đã tạo ra một dấu vân tay khác biệt từ chúng để tìm mã dễ bị tấn công. Hãy coi đây là một tập hợp các đặc điểm duy nhất chỉ có hoặc không có trong phiên bản được nhắm mục tiêu chứ không phải bất kỳ phiên bản nào khác trước hoặc sau nó. Với bộ chữ ký này, phân tích của chúng tôi engine sẽ cho chúng tôi biết chính xác phiên bản AFNetworking đang được sử dụng trong mỗi ứng dụng. "
Nhiều ứng dụng bị ảnh hưởng lưu trữ và truyền dữ liệu thẻ tín dụng của người dùng, bao gồm ứng dụng di động Alibaba.com, KYBankAgent 3.0 và Revo Restaurant Point of Sale. Vài triệu người dùng đã cài đặt một ứng dụng dễ bị tấn công trên thiết bị iOS của họ - một số lượng đáng kinh ngạc do một lỗi ngắn như vậy.
"5% hoặc khoảng 1.000 ứng dụng có lỗ hổng. Những ứng dụng này có quan trọng không? Chúng tôi đã so sánh chúng với dữ liệu xếp hạng của mình và tìm thấy một số người chơi lớn:Yahoo !, Microsoft, Uber, Citrix, v.v. Điều đó làm chúng tôi ngạc nhiên là một thư viện mã nguồn mở đã giới thiệu một lỗ hổng bảo mật chỉ trong 6 tuần khiến hàng triệu của người dùng để tấn công. "
Đánh giá Tác động của Lỗi Mạng AF
Mức độ tồi tệ của lỗ hổng này như thế nào? Lỗi này cho phép những kẻ tấn công đánh lừa các ứng dụng nghĩ rằng chúng đang giao tiếp qua kết nối an toàn với một máy chủ đáng tin cậy. Nếu bạn đang sử dụng một ứng dụng dễ bị tấn công, bất kỳ ai trên cùng mạng WiFi với bạn đều có thể thiết lập một cuộc tấn công trung gian và chặn thông tin từ các ứng dụng, bao gồm cả dữ liệu nhạy cảm như thông tin thẻ tín dụng. Thông tin này sau đó có thể được sử dụng để tạo điều kiện cho hành vi trộm cắp danh tính và các hình thức gian lận khác. Về khả năng, kiểu tấn công này có thể được tự động hóa để nhắm mục tiêu vào các ứng dụng phổ biến.
Một số công ty đã gấp rút cập nhật và sửa lỗi kể từ khi tin tức được đưa ra, bao gồm cả Microsoft và Yahoo. Tuy nhiên, hầu hết các ứng dụng vẫn chưa được vá. Để xem các ứng dụng bạn sử dụng có bị ảnh hưởng hay không, bạn có thể sử dụng công cụ tìm kiếm SourceDNA. Nếu bạn phát hiện ra rằng một trong các ứng dụng của mình vẫn còn lỗ hổng, thì chiến lược an toàn nhất là xóa ứng dụng đó tạm thời và nhắn tin cho các nhà phát triển yêu cầu họ đưa ra bản vá càng sớm càng tốt.
SourceDNA là một công cụ thông minh và điều này chứng tỏ rằng công nghệ của họ thực sự hữu ích. Bảo mật máy tính rất khó và một công cụ có thể tự động hóa quá trình tìm kiếm các lỗi chưa được vá - có hoặc không có sự hợp tác của nhà phát triển - là một chiến thắng to lớn cho bảo mật người dùng. Nếu không có cách kiểm tra này, lỗi phổ biến này sẽ tồn tại, có lẽ trong một thời gian khá dài. Loại phân tích này tạo điều kiện cho các nhà phát triển có trách nhiệm giải trình cao hơn nhiều và có vẻ như SourceDNA sẽ phát hiện thêm các vấn đề chưa được phát hiện và chưa được giải quyết.
Thiết bị iOS của bạn có bị ảnh hưởng bởi lỗi AFNetworking không? Bạn có bị kích thích bởi những công cụ phân tích mới này không? Hãy cho chúng tôi biết trong phần bình luận!
Tín dụng hình ảnh:"US Navy Cyber Warfare", "Mặt trước iPhone," Máy ảnh iPhone ", của Wikimedia