Dusinvis av programmer for Apples mobile enheter er sårbare for Wi-fi snoopers, en sikkerhet forsker rapporterte denne uken.
Vil Strafach, administrerende DIREKTØR i
Sudo Security Group, identifisert 76 populære iOS-apper som er tilgjengelige på Apples App Store, som ble utsatt for trådløst tyvlyttere borte, selv om forbindelsene var ment å være beskyttet av kryptering.
Det har vært 18 millioner nedlastinger av sårbare apps, sa han.
Strafach kategorisert 33 av de sårbare apps som “lav risiko.” Potensielt fanges opp informasjon følger delvis sensitive analytics-data om en enhet og delvis sensitive personopplysninger, for eksempel en e-postadresse eller påloggingsinformasjon.
VivaVideo, Snap Laste opp for Snapchat, Volify, Sløyfer Live, Egen Nettleser, Aman Bank, FirstBank, VPN-Ett Klikk Profesjonelle, og AutoLotto: Powerball, MegaMillions Lotteri Billetter er noen av appene han tildelt til den lave risikoen kategori.
Riskier Apps
Strafach kategorisert annen 24 iOS-apps som “middels risiko.” Potensielt fanges opp informasjon, inkludert service påloggingsinformasjon og økt godkjenning tokens for brukere som er logget på nettverket.
Strafach merket de resterende apps “høy risiko” fordi potensielt fanges opp informasjon, inkludert snatching av økonomiske eller medisinske tjenester påloggingsinformasjon.
Han gjorde ikke identifisere middels og høy risiko apper med navn, for å gi deres beslutningstakere tid til å patch sårbarhet i deres apps.
Hvor bekymret bør brukerne være om deres sikkerhet når du bruker disse programmene?
“Jeg prøvde å la ut noe om bekymring nivå, som jeg ikke ønsker å freak folk ut for mye,” Strafach fortalte TechNewsWorld.
“Selv om dette er faktisk et stort problem i min mening, det kan bli for det meste gjøres ved å slå av WiFi og bruker mobilnettet til å utføre sensitive handlinger, for eksempel å sjekke bankkonti — mens i offentligheten,” sa han.
Mannen i Midten Angrep
Hvis noe, Strafach er forståelse for problemet, vedlikeholdes Dave Jevans, vice president for mobile security produkter på
Proofpoint.
“Vi har analysert millioner av apps, og fant dette er et utbredt problem,” sa han til TechNewsWorld, “og det er ikke bare iOS. Det er Android også.”
Likevel er det sannsynlig er ennå ikke en årsak til stor alarm, i henhold til Seth Hardy, direktør for sikkerhetsforskning på
Appthority.
“Det er noe å være bekymret, men vi har aldri sett det aktivt utnyttet i naturen,” fortalte han TechNewsWorld.
Hva sårbarheten gjør, er å aktivere en klassisk man-in-the-middle-angrep. Data fra mål telefonen er fanget opp før det når sitt mål. Det er deretter dekrypteres, lagret, re-kryptert, og deretter sendt til sin destinasjon-alt uten brukerens viten.
For å gjøre det, for en app trenger å bli lurt til å tro det er å kommunisere med et mål og ikke et evesdropper.
“For at et man-in-the-middle-angrep, for å være vellykket, må den angriper trenger et digitalt sertifikat som enten er klarert av søknaden eller søknaden ikke er riktig utvelgelse tillitsforholdet,” forklarte Slawek Ligier, vice president of engineering for sikkerhet i
Barracuda-Nettverk.
“I dette tilfellet, ser det ut til at utviklerne er å utvikle programmer på en måte som gjør at noen sertifikat for å bli akseptert,” fortalte han TechNewsWorld. “Hvis sertifikatet er utstedt, og at det ikke er utløpt, de er imot det. De er ikke å sjekke om det er blitt tilbakekalt eller selv om det er riktig signert.”
Utbygger er Problemet
Apple bør handle for å luke disse sårbare apps fra bak inngjerdet hage?
“Apple burde absolutt fjern noen av uakseptable apper fra App Store,” sa Sam McLane, leder for sikkerhet ingeniør ved
Arctic Wolf.
“Dette er noe som er relativt enkelt å teste og bør håndheves av Apple, siden tilliten modellen starter med Apple-økosystemet være trygt for folk å bruke,” fortalte han TechNewsWorld.
Strafach uenige. “Setup nå er akkurat som det skal være med hensyn til utbygger kontroll av nettverk-koden,” sa han. “Utviklere kan gjøre noe med dette problemet. For berørte programmer, fix er bare noen få linjer — mindre enn en time topper, hvis det, til å løse saken i berørte koden.”
Lat Programmerere
Hvis Apple prøvde å løse dette app sikkerhetsproblemet, kan det skape hodepine for utviklere, spesielt de med å utvikle enterprise apps, bemerket Simeon Coney, chief strategy officer for
AdaptiveMobile.
“Mye av app utviklere stole på nåværende atferd å gjøre ting som bedriftsapplikasjoner, som kanskje ikke har en offentlig sertifikat,” fortalte han TechNewsWorld, “så ansvaret ligger mer med app-utviklere å sørge for sine programmer ikke er pakket sammen med denne risikoen.”
Apple ønsker ikke å tvinge utviklere å fullt ut kan stole på sertifikater, lagt Ligier. “Det vil bryte en masse ting, spesielt interne apper og generere mange misfornøyde brukere,” sa han.
Likevel, utviklere bør ikke slippe apper som gjør det mulig for tredjepart sertifikater for å bli blindt akseptert, McLane vedlikeholdt.
“Dette er helt i hendene til rette,” sa han. “Det er lett testet og bare ut av latskap ville noen gang skipet en app som hadde denne groteske sikkerhetshull i produksjonen nivå koden.”
