Oglas
SourceDNA, platforma za analizu koda koja pregledava Android i iOS aplikacije, nedavno je objavila izvještaj u kojem je naznačila da više od 1.000 iOS aplikacija ima ozbiljnu sigurnosnu ranjivost koja bi mogla ugroziti financijsku vrijednost korisnika pojedinosti.
Programski program sprečava da se aplikacije ispravno provjere SSL certifikati Što je SSL certifikat, a treba li vam?Pregledavanje Interneta može biti zastrašujuće kada su u pitanju osobni podaci. Čitaj više , otvarajući aplikacije za brojne napade man-in-mid-a. Iako ova aplikacija ne utječe na sigurnost samog iOS-a Sigurnost pametnih telefona: Mogu li iPhone uređaji dobiti zlonamjerni softver?Zlonamjerni softver koji utječe na "tisuće" iPhonea može ukrasti vjerodajnice App Store-a, no većina korisnika iOS-a potpuno je sigurna - pa što je s iOS-om i rogue softverom? Čitaj više , to može ugroziti korisničke podatke koji se prenose putem pogođenih aplikacija ...
Jednostavan bug koji razbija SSL
bug u pitanju nalazi se u paketu AFNetworking, popularnom mrežnom rješenju otvorenog koda koji se koristi u tisućama App Store aplikacija. Bug je jednostavna logička pogreška koja zaustavlja provjeru SSL-a da se zapravo odvija i vraća sve provjere certifikata kao valjane. Ovo nije velika sigurnosna katastrofa
HeartBleed Srčano srce - što možete učiniti da ostanete sigurni? Čitaj više ili Potres mozga Još gore od srca? Upoznajte ShellShock: Nova prijetnja sigurnosti za OS X i Linux Čitaj više - ali problem je ako koristite aplikaciju koja sadrži bug. Srećom, bug je postojao samo oko šest tjedana, dodan je u 2.5.1 i popravljen je u 2.5.2. Moglo bi se pretpostaviti da je to kraj priče.Nažalost ne.
Nažalost, mnogi programeri ne ažuriraju svoje aplikacije aktivno pomoću ispravki programskih pogrešaka, a tu su i hrpa aplikacija koje i dalje koriste pokvarenu verziju AFNetworkinga, unatoč dostupnosti a krpica. SourceDNA je analizirala 20.000 aplikacija koje sadrže verzije paketa AFNetworking i utvrdila da oko 1.000 i dalje koristi slomljeni SSL ček.
SourceDNA je uspjela izvršiti ovu provjeru pomoću analitičkih alata koji omogućuju analizu binarnih datoteka tisuća aplikacija. Njihova tehnologija omogućuje im ne samo prepoznavanje knjižnica koje su sastavljene od ovih aplikacija, već i koje verzije od tih knjižnica. Kako se ispostavilo, ovo je nevjerojatno korisno za prepoznavanje na koje aplikacije mogu utjecati poznati bugovi i ranjivosti. Prema objavljenom radu,
“SourceDNA je stvorila od njih različit otisak da pronađe ranjivi kod. Zamislite ovo kao skup jedinstvenih karakteristika koje su bile prisutne ili odsutne samo u ciljanoj verziji, a ne bilo kojoj drugoj prije ili poslije nje. Pomoću ovog skupa potpisa naš će analizator točno reći koja se inačica AFNetworkinga koristi u svakoj aplikaciji. “
Mnoge pogođene aplikacije pohranjuju i prenose podatke o kreditnim karticama korisnika, uključujući Alibaba.com mobilna aplikacija, KYBankAgent 3.0, i Prodajno mjesto restorana Revo. Nekoliko milijuna korisnika na svom iOS uređaju instalira ranjivu aplikaciju - zadivljujuća količina izlaganja iz tako kratke pogreške.
"5% ili oko 1.000 aplikacija imalo je mana. Jesu li te aplikacije važne? Usporedili smo ih s podacima o našem rangu i pronašli neke velike igrače: Yahoo!, Microsoft, Uber, Citrix, itd. Čudi nas da je otvorena izvorna knjižnica koja je uvela sigurnosni propust za samo 6 tjedana milijuni korisnika da napadnu. "
Procjena utjecaja AFNetworking Bug
Koliko je loša ta ranjivost? Bug omogućava napadačima da zavaraju aplikacije misleći da komuniciraju preko sigurne veze s pouzdanim serverom. Ako koristite ranjivu aplikaciju, bilo tko na istoj WiFi mreži kao što možete postaviti napad čovjek-u-sredini Što je napad Čovjeka u sredini? Objasnio sigurnosni žargonAko ste čuli za napade "čovjeka u sredini", ali niste baš sigurni što to znači, ovo je članak za vas. Čitaj više i presretanje informacija iz aplikacija, uključujući osjetljive podatke poput podataka o kreditnoj kartici. Te informacije bi se zatim mogle upotrijebiti za olakšavanje Krađa identiteta 6 Znakovi upozorenja krađe digitalnog identiteta koje ne biste trebali zanemaritiKrađa identiteta nije previše rijetka pojava ovih dana, no često padamo u zamku razmišljanja kako će se to uvijek dogoditi "nekome drugom". Ne zanemarujte znakove upozorenja. Čitaj više i druge oblike prijevara. Potencijalno bi takav napad mogao biti automatiziran za ciljanje popularnih aplikacija.
Mnoge su tvrtke ubrzale ažuriranja i ispravke od vijesti, uključujući Microsoft i Yahoo. Većina aplikacija, međutim, ostaje netaknuta. Ako želite utjecati na aplikacije koje koristite, možete koristiti SourceDNA alat za pretraživanje. Ako otkrijete da je jedna od vaših aplikacija i dalje ranjiva, najsigurnija strategija je privremeno je izbrisati i poručiti programerima da od njih zatraže da što prije uklone zakrpu.
SourceDNA je pametan alat, a to pokazuje da je njihova tehnologija zaista korisna. Računalna sigurnost je tvrda, a alat koji može automatizirati proces traženja neprimjerenih pogrešaka - sa ili bez suradnje programera - ogroman je dobitak za sigurnost korisnika. Bez ovakve provjere, ova bi raširena buba ustrajala, vjerojatno već dugo vremena. Ovakva analiza omogućuje masovno javno sramoćenje koje programerima čini mnogo odgovornijima, a čini se da će SourceDNA otkriti daljnje neotkrivene i neriješene probleme.
Na vaš iOS uređaj utječe pogreška AFNetworking? Jeste li uzbuđeni ovim novim analitičkim alatima? Javite nam u komentarima!
Slikovni prilozi: "Cyberwarfare američke mornarice, "" Prednja strana iPhonea ",iPhone kamera“, Wikimedia
Pisac i novinar sa sjedišta na jugozapadu, Andre je zajamčeno da će ostati funkcionalan do 50 Celzijevih stupnjeva, a vodootporan je do dubine od dvanaest metara.