Snesevis af applikationer til Apple ‘ s mobile enheder er sårbare over for WiFi snoopers, en sikkerhedsekspert, rapporterede i denne uge.
Vil Strafach, administrerende DIREKTØR for
Sudo Security Group, der er identificeret 76 populære iOS-apps findes på Apple ‘ s App Store, der var sårbare over for trådløse uvedkommende, selv om de forbindelser, der skulle beskyttes ved kryptering.
Der har været 18 millioner downloads i den sårbare apps, sagde han.
Strafach kategoriseret 33 af de sårbare apps som “lav risiko”. Potentielt opsnappet oplysninger, der indgår delvist følsomme analytics-data om en enhed og delvist følsomme personlige data, såsom e-mail-adresse eller login-legitimationsoplysninger.
VivaVideo, Snap Upload til Snapchat, Volify, Sløjfer Live, Egen Browser, Aman Bank, FirstBank, VPN-Klik på En Professionel, og AutoLotto: Powerball, MegaMillions Lotteri Billetter er nogle af de apps, han er tildelt til lav-risikogruppen.
Mere Risikable Apps
Strafach kategoriseret anden 24 iOS apps som “medium risiko”. Potentielt opsnappet oplysninger, der indgår service login-legitimationsoplysninger og session-godkendelse token til brugere, der er logget på netværket.
Strafach mærket de resterende apps “høj risiko”, fordi potentielt opsnappet oplysninger, der indgår den opfattelse af finansielle eller medicinsk service login-legitimationsoplysninger.
Han gjorde ikke identificere medium og høj risiko apps efter navn, for at give deres beslutningstagere tid til at lappe en svaghed i deres apps.
Hvor bekymrede bør brugere være om deres sikkerhed, når du bruger disse apps?
“Jeg forsøgte at udelade noget som helst om bekymring niveau, som jeg ikke ønsker, at flipper folk ud for meget,” Strafach fortalte TechNewsWorld.
“Mens dette er faktisk en stor bekymring i min udtalelse, det kan for det meste afhjælpes ved at slukke WiFi og brug af en mobildataforbindelse til at udføre følsomme handlinger — såsom kontrol bank saldi — mens i det offentlige,” sagde han.
Manden i Midten-Angreb
Hvis der er noget, Strafach er at underdrive problemet, vedligeholdes Dave Jevans, vice president for mobile security-produkter, på
Proofpoint.
“Vi har analyseret millioner af apps og fandt, at dette er et udbredt problem,” fortalte han TechNewsWorld, “og det er ikke kun iOS. Det er Android, også.”
Stadig, er det sandsynligt er endnu ikke anledning til stor alarm, efter at Seth Hardy, direktør for forskning i sikkerhed på
Appthority.
“Det er noget at være bekymret for, men vi har aldrig set det aktivt udnyttes i naturen,” fortalte han TechNewsWorld.
Hvad sårbarheden gør, er at sætte en klassiker man-in-the-middle-angreb. Data fra de mål, telefon blev aflyttet, før den når sin destination. Det er så dekrypteret, der er gemt, re-krypteret og sendes derefter til sit bestemmelsessted-helt uden brugerens viden.
At gøre, at en app skal være narret til at tro, det er at kommunikere med en destination og ikke en evesdropper.
“For et man-in-the-middle-angreb, til at blive en succes, angriberen behov for et digitalt certifikat, der er enten har tillid til det program, eller programmet ikke er korrekt kontrol tillidsforhold,” forklarede Slawek Ligier, vice president af engineering for sikkerhed på
Barracuda Networks.
“I denne sag ser det ud til, at udviklerne er ved at udvikle applikationer på en måde, der giver enhver certifikat for at blive accepteret,” fortalte han TechNewsWorld. “Hvis det certifikat, der er udstedt og ikke udløbet, de er ved at acceptere det. De er ikke kontrollere, hvis det er blevet tilbagekaldt, eller selv om det er korrekt underskrevet.”
Developer ‘ s Problem
Apple bør handle for at frasortere disse sårbare apps fra bag dens indhegnede have?
“Apple bør helt sikkert fjerne nogle af de ulovlige apps fra App Store,” sagde Sam McLane, chef for security engineering på
Arctic Wolf.
“Det er noget, der er relativt let at teste for og bør håndhæves af Apple, da de har tillid til modellen starter med Apples økosystem er sikkert for folk at bruge,” fortalte han TechNewsWorld.
Strafach uenige. “Setup nu er præcis som det skal være med hensyn til udvikleren kontrol af netværk kode,” sagde han. “Udviklere kan gøre noget ved dette problem. For de berørte apps, fix er kun et par linjer-mindre end en time toppe, hvis der, til at ordne sagen i påvirket kode.”
Dovne Programmører
Hvis Apple har forsøgt at tage højde for denne app sårbarhed, kan det skabe problemer for udviklere, især dem at udvikle virksomheden apps, bemærkes, Simeon Coney, chief strategy officer for
AdaptiveMobile.
“En masse af app-udviklere stole på nuværende adfærd til at gøre ting som enterprise-apps, der kan ikke have en offentlig certifikat,” fortalte han TechNewsWorld”, så ansvaret ligger hos den app udviklere, at sørge for at deres apps ikke er bundtet med denne risiko.”
Apple ønsker ikke at tvinge udviklere til at have fuld tillid til certifikater, tilføjet Ligier. “Det vil bryde en masse ting, især interne apps, og generere en masse af utilfredse brugere,” sagde han.
Ikke desto mindre, udviklere bør ikke udgive apps, der giver mulighed for tredjeparts-certifikater til at være blindt accepteret, McLane opretholdes.
“Det er helt i deres hænder til at afhjælpe,” sagde han. “Det er nemt testet, og kun ud af dovenskab skulle nogen nogensinde skibet en app, der havde denne ekstreme sikkerhedshul i produktionen niveau-kode.”
