Massor av applikationer för Apples mobila enheter som är känsliga för wi-fi trådlöst Lan spioner, en säkerhetsforskare rapporterade i veckan.
Kommer Strafach, VD för
Sudo Security Group, som identifierats 76 populära iOS-appar som finns tillgängliga på Apples App Store som var utsatta för trådlöst tjuvlyssnare, även om sambanden ska skyddas genom kryptering.
Det har varit 18 miljoner nedladdningar av den utsatta apps, sade han.
Strafach kategoriseras 33 av de utsatta apps som “låg risk”. Potentiellt avlyssnas information som ingår delvis känsliga analytics-data om en enhet och delvis känsliga personuppgifter, till exempel e-postadress eller inloggningsuppgifter.
VivaVideo, Snap Ladda upp för Snapchat, Volify, Slingor Live, Egen Webbläsare, Aman Bank, FirstBank, VPN Klicka på En Professionell, och AutoLotto: Powerball, MegaMillions Lotteri Biljetter är några av de appar han tilldelats låg risk kategori.
Mer Riskfyllda Apps
Strafach kategoriseras ytterligare 24 iOS-appar som “medelhög risk”. Potentiellt avlyssnas information som ingår service inloggningsuppgifter och session authentication tokens för användare som är inloggad på nätverket.
Strafach märkt återstående apps “hög risk” eftersom potentiellt avlyssnas information ingår rycka av ekonomiska eller medicinska tjänster inloggningsuppgifter.
Han gjorde inte identifiera medelhög och hög risk appar med namn, för att ge sina beslutsfattare att lappa sårbarheten i sina appar.
Hur orolig bör användare vara om deras säkerhet när du använder dessa program?
“Jag försökte lämna ut något om oro nivå, som jag inte vill freak människor för mycket,” Strafach berättade TechNewsWorld.
“Även om detta är verkligen en stor oro i min mening, det kan oftast lindras genom att stänga av WiFi och med hjälp av en mobilanslutning för att utföra känsliga handlingar-till exempel kontroll av bank-medan i det offentliga,” sade han.
Man-i-Mitten-Attack
Om något, Strafach är att underskatta problemet, underhålls Dave Jevans, vice vd för mobile security-produkter
Proofpoint.
“Vi har analyserat miljontals appar och hittat det här är ett utbrett problem”, sa han till TechNewsWorld, “och det är inte bara iOS. Det är Android också.”
Fortfarande, det är sannolikt att det inte är ännu en anledning till stor oro, enligt Seth Hardy, chef för säkerhetsforskning på
Appthority.
“Det är något att vara oroliga, men vi har aldrig sett det aktivt utnyttjas i det vilda”, sa han till TechNewsWorld.
Vad sårbarheten gör är att möjliggöra en klassisk mannen-i-mitten-attack. Data från målet telefonen avlyssnas innan det når sin destination. Det är då dekrypteras, lagras, re-krypterad och sedan skickas till sin destination-alla utan användarens vetskap.
För att göra det, en app måste luras att tro det är att kommunicera med ett mål och inte en evesdropper.
“För en man-in-the-middle-attack för att vara framgångsrik, måste angriparen ett digitalt certifikat som är betrott av ansökan eller ansökan inte är korrekt prövning förtroende,” förklarade Slawek Ligier, vice president of engineering för säkerhet på
Barracuda Networks.
“I detta fall, det verkar som utvecklare utvecklar applikationer på ett sätt som gör att alla certifikat för att godkännas”, sade han TechNewsWorld. “Om certifikatet är utfärdat och inte har löpt ut, de är att acceptera det. De är inte att kontrollera om det har återkallats eller om det ens är korrekt signerad”.
Utvecklare: s Problem
Apple bör agera för att rensa dessa utsatta appar från bakom sin muromgärdad trädgård?
“Apple bör definitivt ta bort några av de störande appar från App Store,” säger Sam McLane, chef för it-säkerhet på
Arctic Varg.
“Detta är något som är relativt enkelt att testa för och bör kontrolleras av Apple, eftersom förtroende modellen börjar med Apples ekosystem är säkra för människor att använda”, sa han till TechNewsWorld.
Strafach höll inte med. “Setup nu är precis som det ska vara när det gäller utvecklare kontroll av nätverk koden”, sade han. “Utvecklare kan göra något åt detta problem. För de drabbade apps, fix är bara några rader — mindre än en timme toppar, om det, för att fixa saken i drabbade koden”.
Lat Kodare
Om Apple försökt att ta itu med denna app sårbarhet, kan det skapa svårigheter för utvecklare, särskilt de som utvecklar företaget apps, konstaterade Simeon Coney, chief strategy officer för
AdaptiveMobile.
“En stor del av app-utvecklare förlita sig på nuvarande beteenden för att göra saker som att företaget apps, som kanske inte har ett offentligt intyg”, sa han till TechNewsWorld, “så ansvaret ligger mer med app-utvecklare att se till att deras program är inte tillsammans med den här risken.”
Apple vill inte att tvinga utvecklare att fullt ut lita på certifikat, lagt Ligier. “Det kommer att bryta en massa saker, särskilt interna appar, och generera en hel del missnöjda användare”, sade han.
Ändå, utvecklare bör inte släppa appar som gör det möjligt för tredje part certifikat för att vara blint accepterade, McLane upprätthålls.
“Detta är helt i sina händer för att åtgärda”, sade han. “Det är lätt att testas och bara av lättja skulle någon någonsin fartyget en app som hade detta flagranta säkerhetshål i produktionen nivå kod.”
