פרסומת
SourceDNA, פלטפורמת ניתוח קוד המבקרת אפליקציות אנדרואיד ו- iOS, פרסמה לאחרונה דוח שמצביע על כך שלמעלה מ -1,000 יישומי iOS יש פגיעות אבטחה חמורה העלולה לפגוע בכספי המשתמש פרטים.
הבאג מונע מהאפליקציות לאמת נכון תעודות SSL מה זה תעודת SSL והאם אתה צריך תעודה?גלישה באינטרנט יכולה להיות מפחידה כשמדובר במידע אישי. קרא עוד , פתיחת האפליקציות למספר התקפות של איש-באמצע. אמנם יישום זה אינו משפיע על ה- אבטחת iOS עצמה אבטחת סמארטפון: האם מכשירי iPhone יכולים לקבל תוכנות זדוניות?תוכנות זדוניות המשפיעות על "אלפי" מכשירי אייפון יכולים לגנוב אישורי App Store, אך רוב משתמשי iOS בטוחים לחלוטין - אז מה העניין עם iOS ותוכנה סוררת? קרא עוד , זה יכול לפגוע בנתוני משתמשים המועברים דרך אפליקציות מושפעות ...
באג פשוט שובר SSL
ה באג המדובר נמצא בחבילת AFNetworking, פיתרון רשת פתוחה פופולרי המשמש באלפי אפליקציות App Store. הבאג הוא שגיאת היגיון פשוטה שמונעת את בדיקת ה- SSL להתרחש בפועל, ומחזירה את כל בדיקות האישורים כתקפות. זה לא אסון אבטחה מסיבי כמו דימום לב פעורי לב - מה אתה יכול לעשות כדי להישאר בטוח? קרא עוד
או הלם קרב גרוע מבעבועות לב? הכירו את ShellShock: איום אבטחה חדש עבור מערכת ההפעלה X ו- Linux קרא עוד - אבל זו בעיה אם אתה משתמש באפליקציה שמכילה את הבאג. למרבה המזל, הבאג היה קיים רק כשישה שבועות, נוסף ב 2.5.1, ותוקן ב 2.5.2. סביר להניח שזו הסוף של הסיפור.למרבה הצער לא.
למרבה הצער, מפתחים רבים אינם מתעדכנים באופן פעיל באפליקציות שלהם עם תיקוני באגים, ויש כאלה חבורת אפליקציות שעדיין משתמשות בגרסה השבורה של AFNetworking, למרות הזמינות של תיקון. SourceDNA ניתח 20,000 אפליקציות המכילות גרסאות של חבילת AFNetworking, וקבעו שכאלף עדיין משתמשים בבדיקת ה- SSL השבורה.
SourceDNA הצליח לבצע בדיקה זו באמצעות כלי ניתוח המאפשרים לנתח את הקבצים הבינאריים של אלפי אפליקציות. הטכנולוגיה שלהם מאפשרת להם לזהות לא רק לאילו ספריות אפליקציות אלה הוכנסו, אלא אילו גרסאות של הספריות האלה. כפי שמתברר, זה שימושי להפליא לזיהוי אילו אפליקציות עשויות להיות מושפעות על ידי באגים ופגיעויות ידועים. על פי העיתון שפורסם,
SourceDNA יצר מהם טביעת אצבע דיפרנציאלית כדי למצוא את הקוד הפגיע. חשבו על זה כסט מאפיינים ייחודיים שהיו נוכחים או נעדרים רק בגרסה הממוקדת ולא באחרים לפניו. עם קבוצת חתימות זו, מנוע הניתוח שלנו יגלה לנו בדיוק איזו גרסה של AFNetworking הייתה בשימוש בכל אפליקציה. “
רבים מהיישומים המושפעים מאחסנים ומשדרים נתוני כרטיסי אשראי של משתמשים, כולל ה אפליקציית הסלולר Alibaba.com, KYBankAgent 3.0, ו נקודת המכירה של מסעדת Revo. לכמה מיליוני משתמשים מותקנת אפליקציה פגיעה במכשיר ה- iOS שלהם - כמות מדהימה של חשיפה בגלל באג כה קצר.
"ל -5% או כאלף אפליקציות היה הפגם. האם האפליקציות האלה חשובות? השווינו ביניהם מול נתוני הדירוג שלנו ומצאנו כמה שחקנים גדולים: Yahoo!, Microsoft, Uber, Citrix וכו '. זה מדהים אותנו שספריית קוד פתוח שהציגה פגם אבטחה במשך 6 שבועות בלבד מיליונים של המשתמשים לתקוף. "
הערכת ההשפעה של AFN Networking Bug
כמה גרוע הפגיעות הזו? הבאג מאפשר לתוקפים לשטות באפליקציות לחשוב שהם מתקשרים דרך חיבור מאובטח עם שרת מהימן. אם אתה משתמש באפליקציה פגיעה, כל אחת מאותה רשת WiFi שתוכל להגדיר א התקפה של איש באמצע מהי התקפה של אדם באמצע? הוסבר שפה הביטחוןאם שמעתם על התקפות "איש-באמצע" אך אינך בטוח לגמרי מה זה אומר, זה המאמר בשבילך. קרא עוד וליירט מידע מהיישומים, כולל נתונים רגישים כמו פרטי כרטיסי אשראי. לאחר מכן ניתן להשתמש במידע זה כדי להקל גניבת זהות 6 סימני אזהרה לגניבת זהות דיגיטלית שאסור להתעלם מהםגניבת זהות אינה נדירה מדי מההתרחשות בימינו, אך לעיתים קרובות אנו נופלים בפח המחשבה שזה תמיד יקרה ל"מישהו אחר ". אל תתעלם מסימני האזהרה. קרא עוד וצורות הונאה אחרות. פוטנציאלית, התקפה מסוג זה יכולה להיות אוטומטית למיקוד לאפליקציות פופולריות.
מספר חברות מיהרו לעדכן ותיקונים מאז שפורסמו החדשות, כולל מיקרוסופט ויאהו. עם זאת, רוב האפליקציות נותרו ללא תחרות. כדי לראות אם האפליקציות בהן אתה משתמש מושפעות, אתה יכול להשתמש בכלי החיפוש SourceDNA. אם אתה מגלה שאחד מהיישומים שלך עדיין פגיע, האסטרטגיה הבטוחה ביותר היא למחוק אותה באופן זמני, ולהעביר למפתחים הודעה שתבקש מהם להוציא תיקון בהקדם האפשרי.
SourceDNA הוא כלי חכם וזה מראה כי הטכנולוגיה שלהם שימושית באמת. אבטחת מחשבים היא קשה וכלי שיכול לאוטומט את תהליך חיפוש הבאגים שלא הוענקו להם - עם או בלי שיתוף פעולה עם מפתחים - הוא ניצחון אדיר לאבטחת המשתמשים. ללא בדיקה מסוג זה, הבאג הנפוץ הזה היה נמשך, ככל הנראה במשך די הרבה זמן. ניתוח מסוג זה מאפשר בושה של המון ציבורי ההופך את המפתחים לאחראים הרבה יותר, ונראה כי SourceDNA יחשוף בעיות נוספות שלא התגלו ובלתי פתורות.
האם מכשיר ה- iOS שלך מושפע מהבאג AFNetworking? האם אתה מתרגש מכלי הניתוח החדשים האלה? ספרו לנו בתגובות!
נקודות זיכוי: "הצי האמריקני של חיל הים, "" חזית אייפון, "מצלמת אייפון“, מאת ויקימדיה
אנדר מוביל להישאר פונקציונלי עד 50 מעלות צלזיוס, הוא סופר ועיתונאי שבסיסו בדרום מערב. הוא אטום למים בעומק של מטר וחצי.
