Edmund Richardson
0 
4299
1202
Android ve iOS uygulamalarını denetleyen bir kod analizi platformu olan SourceDNA, geçtiğimiz günlerde, 1000'den fazla iOS uygulamasının bir kullanıcının finansal ayrıntılarını tehlikeye atabilecek ciddi bir güvenlik açığına sahip olduğunu belirten bir rapor yayınladı..
Hata, uygulamaların SSL sertifikalarını doğru bir şekilde doğrulamasını önler SSL Sertifikası Nedir ve Bir Size İhtiyacınız Var mı? SSL Sertifikası Nedir ve Size İhtiyacınız Var mı? İnternette gezinmek, kişisel bilgiler söz konusu olduğunda korkutucu olabilir. , uygulamaları bir dizi orta saldırıya kadar açma. Bu uygulama iOS'un güvenliğini etkilemese de Smartphone Güvenlik: iPhone'lar Kötü Amaçlı Yazılım Alabilir mi? Akıllı Telefon Güvenliği: iPhone'lar Kötü Amaçlı Yazılım Alabilir mi? İPhone'ları "binlerce" etkileyen kötü amaçlı yazılımlar App Store kimlik bilgilerini çalabilir, ancak iOS kullanıcılarının çoğu tamamen güvenlidir - peki iOS ve haydut yazılımı ile ne ilgisi var? , etkilenen uygulamalarla iletilen kullanıcı verilerini tehlikeye atabilir…
SSL kıran basit bir hata
Söz konusu hata, binlerce App Store uygulamasında kullanılan popüler bir açık kaynaklı ağ çözümü olan AFNetworking paketinde. Hata, SSL kontrolünün gerçekleşmesini engelleyen ve tüm sertifika kontrollerini geçerli olarak döndüren basit bir mantık hatası. Bu, HeartBleed Heartbleed gibi büyük bir güvenlik felaketi değil - Güvende Kalmak için Ne Yapabilirsiniz? Heartbleed - Güvende Kalmak İçin Ne Yapabilirsiniz? veya ShellShock Heartbleed'den Daha Kötü? ShellShock ile Tanışın: OS X ve Linux İçin Yeni Bir Güvenlik Tehdidi Heartbleed'den Daha Kötü? ShellShock ile Tanışın: Yeni Bir Güvenlik Tehdidi OS X ve Linux için - ancak hatayı içeren bir uygulama kullanıyorsanız sorun olur. Neyse ki, hata sadece yaklaşık altı hafta vardı, 2.5.1'de eklendi ve 2.5.2'de düzeltildi. Bunun hikayenin sonu olduğunu makul bir şekilde kabul edebilirsiniz..
Ne yazık ki hayır.
Maalesef, birçok geliştirici, uygulamalarını hata düzeltmeleriyle aktif olarak güncel tutmuyor ve hala düzeltme eki bulunmasına rağmen, AFNetworking'in bozuk sürümünü kullanan birçok uygulama var. SourceDNA, AFNetworking paketinin sürümlerini içeren 20.000 uygulamayı analiz etti ve yaklaşık 1.000’inin hala kırık SSL kontrolünü kullandığını belirledi.
SourceDNA, bu uygulamayı binlerce uygulamanın ikili dosyalarını analiz etmeyi mümkün kılan analitik araçlarını kullanarak gerçekleştirmiştir. Teknolojileri, yalnızca bu uygulamaların hangi kitaplıklarla derlendiğini değil versiyonları bu kütüphanelerin. Görünüşe göre, bu bilinen hatalar ve açıklardan hangi uygulamaların etkilenebileceğini belirlemek için inanılmaz derecede faydalıdır. Yayınlanan kağıda göre,
“SourceDNA, güvenlik açığı bulunan kodu bulmak için onlardan farklı bir parmak izi oluşturdu. Bunu, yalnızca hedeflenen sürümde mevcut olan veya olmayan, diğerlerinden önce veya sonra olmayan bir dizi benzersiz özellik olarak düşünün. Bu imza setiyle, analiz motorumuz bize her bir uygulamada hangi AFNetworking versiyonunun kullanıldığını söylerdi.. “
Etkilenen uygulamaların çoğu, Alibaba.com mobil uygulaması, KYBankAgent 3.0 ve Revo Restaurant Satış Noktası dahil olmak üzere kullanıcı kredi kartı verilerini depolar ve iletir. Birkaç milyon kullanıcının iOS cihazlarında güvenlik açığı bulunan bir uygulaması var - böylesine kısa bir hatadan şaşırtıcı derecede etkilenme.
“% 5 veya yaklaşık 1.000 uygulamada kusur vardı. Bu uygulamalar önemli mi? Bunları sıralama verilerimizle karşılaştırdık ve bazı büyük oyuncular bulduk: Yahoo !, Microsoft, Uber, Citrix, vs. Bizi 6 hafta boyunca güvenlik açığı oluşturan açık kaynaklı bir kütüphanenin ortaya çıkarması bizi şaşırtıyor. milyonlarca Saldırı yapan kullanıcıların listesi.”
AFNetworking Bug'ın Etkisini Değerlendirme
Bu güvenlik açığı ne kadar kötü? Hata, saldırganların, güvenilir bir sunucuyla güvenli bir bağlantı üzerinden iletişim kurduklarını düşünerek uygulamaları kandırmasına izin veriyor. Korunmasız bir uygulama kullanıyorsanız, aynı Wi-Fi ağındaki herhangi biri ortada bir adam atabilir. Ortada Bir Adam Saldırı Nedir? Güvenlik Jargon Açıkladı Ortadaki Bir Adam Saldırısı Nedir? Güvenlik Jargon Açıklaması “Ortadaki adam” saldırılarını duyduysanız ancak bunun ne anlama geldiğinden tam olarak emin değilseniz, bu makale sizin için. ve kredi kartı bilgileri gibi hassas veriler de dahil olmak üzere uygulamalardaki bilgileri durdurma. Bu bilgi daha sonra kimlik hırsızlığını kolaylaştırmak için kullanılabilir. 6 Dijital Kimlik Hırsızlığı Uyarı İşaretleri Yoksaymamalısınız 6 Dijital Kimlik Hırsızlığı Uyarı İşaretleri Yoksaymamalısınız Kimlik hırsızlığı bugünlerde çok nadir görülmedi Her zaman "başkasına" olacağını düşünerek tuzağa düşmek. Uyarı işaretlerini dikkate almayın. ve diğer dolandırıcılık biçimleri. Potansiyel olarak, bu tür bir saldırı popüler uygulamaları hedeflemek için otomatikleştirilebilir.
Microsoft ve Yahoo da dahil olmak üzere, haberin yayınlanmasından bu yana bazı şirketler güncellemeleri ve düzeltmeleri koştu. Yine de uygulamaların çoğu yamalı kalır. Kullandığınız uygulamaların etkilenip etkilenmediğini görmek için SourceDNA arama aracını kullanabilirsiniz. Uygulamalarınızdan birinin hala savunmasız olduğunu keşfederseniz, en güvenli strateji geçici olarak silmek ve geliştiricilere en kısa zamanda bir düzeltme eki göndermelerini istediklerini bildirmektir..
SourceDNA akıllı bir araçtır ve bu onların teknolojisinin gerçekten yararlı olduğunu göstermektedir. Bilgisayar güvenliği zordur ve yamalı hata arama sürecini otomatize edebilen bir araç - geliştirici işbirliği olsun ya da olmasın - kullanıcı güvenliği için büyük bir kazançtır. Bu tür bir kontrol olmasaydı, bu yaygın hata muhtemelen oldukça uzun bir süre devam edecekti. Bu tür bir analiz, geliştiricileri çok daha hesap verebilir kılan toplu kamusal utancı sağlar ve SourceDNA'nın daha fazla tespit edilemeyen ve çözülemeyen sorunları ortaya çıkarması muhtemel görünüyor.
İOS cihazınız AFNetworking hatalarından etkileniyor mu?? Bu yeni analiz araçları tarafından heyecanlı mısınız? Yorumlarda bize bildirin!
Resim kredisi: “ABD Donanması Siber Savaş,” “iPhone önü, “iPhone kamera“, Wikimedia tarafından