Mintegy 1500 iOS appot érinthet a komoly HTTPS sebezhetőség

Skarp 2015.04.22. 18:01 Apple, iOS, Kiemelt hírek 1 db 297

Nagyjából másfélezer alkalmazás lehet veszélyeztetettje egy HTTPS hibának, aminek köszönhetően az ártó szándékú felek meg tudják kerülni a biztonsági mechanizmusokat és jelszavakat vagy egyéb érzékeny adatokat lophatnak el.

https_exploit

A SourceDNA elnevezésű elemzőcég szerint a probléma az AFNetworking nevű nyílt-forrású kódkönytárra vezethető vissza, amit számos app használ hálózati funkciók esetében. Ennek 2.5.1-es verziója, amit januárban adtak ki, véletlenül tartalmazott egy bugot is, amit kihasználva a velünk azonos Wi-Fi hálózaton levő személyek kamu SSL tanúsítvánnyal sikeresen képesek lehetnek HTTPS adatok titkosításának feloldására.

A hiba miatt az AFNetworking simán átugorja az egyik validációt – a hibát először az Ars Technica szerzői szúrták ki. A három héttel ezelőtt kiadott 2.5.2-es frissítés javítja a hibát, azonban számos app még a régi könyvtárat használja, közöttük olyan nagyágyúk is, mint az AliBaba, az Uber, a Movies by Flixster, a Citrix és hasonlók. Optimista számítások szerint is legalább 1500 app lehet érintett.

A SourceDNA állítása szerint már ellenőrzött 1 milliót az elérhető App Store appok közül, az összes ingyeneset, viszont a fizetősökből csak a top 5000-es címeket. Az elemzőcég privát üzenetben értesítette az inkriminált appok fejlesztőit, mielőtt nyilvánosságra hozta volna a problémát. A nagyobb cégek, pl. az Uber, a Yahoo vagy a Microsoft a hírek szerint már eszközöltek változásokat, bár bizonyos appjaik még mindig támadhatóak. Már netes ellenőrző tool is van, amivel megvizsgálhatjuk, hogy az app érintett-e vagy már felpatchelték.

Az már csak a hab a tortán, hogy előző hét végén Patrick Wardle elismert biztonsági szakember is megírta, hogy a 10.10.3 nem tudta teljesen megoldani a RootPipe-problémát, amit kihasználva bizonyos Mac szoftverek root hozzáférést szerezhetnek bármiféle authentikáció nélkül. Wardle szándékosan nem osztott meg további részleteket, és az Apple-t is értesítette cikke élesítésével egyidőben.

Tetszett a bejegyzés? Lájkold, csiripeld, oszd meg!

A szerző

Hozzászólások száma: 1 db

  1. Pepe - 2015.04.23. 07:26

    Vagy nem véletlenül tartalmazott. Valahogy belefejlesztődött. Ez a szép új világ.

Szólj hozzá Te is!