| 6 фев 2017 — 2:00 pm PT
Проанализировав бинарные коды приложений в App Store для iOS, сервис Will Strafach’s verify.ly обнаружил, что 76 популярных приложений в магазине в настоящее время уязвимы к перехвату данных. Перехват возможен независимо от того, используют ли разработчики App Store App Transport Security или нет. Несколько месяцев назад были обнаружены аналогичные уязвимости в iOS-приложениях Experian и myFICO Mobile.
Сервис verify.ly Штрафаха занимается сканированием приложений в App Store для iOS в поисках уязвимостей, чтобы помочь разработчикам понять, как укрепить и обезопасить свой код. Сканирование ищет закономерности в уязвимостях, а в более пугающих примерах находит их повторение в нескольких приложениях. Сегодняшнее объявление не только пугает, потому что приложения очень распространены, но и потому, что было загружено более 18 000 000 экземпляров уязвимых сборок приложений.
В отчете Штрафах разделил 76 приложений на категории низкого, среднего и высокого риска. «Функция App Transport Security в iOS не помогает и не может блокировать работу этой уязвимости», — заявляет Штрафах. ATS, представленная в iOS 9, была создана для повышения безопасности и конфиденциальности пользователей, побуждая приложения использовать HTTPS. Изначально Apple установила крайний срок 1 января 2017 года для настройки этой функции во всех приложениях, но с тех пор перенесла его на неопределенный срок. Проблема заключается в неправильно настроенном сетевом коде, из-за которого App Transport Security от Apple рассматривает соединения как действительные TLS-соединения, даже если они таковыми не являются.
Со стороны Apple не существует возможного исправления, потому что если бы они попытались переопределить эту функциональность, чтобы заблокировать эту проблему безопасности, это фактически сделало бы некоторые iOS-приложения менее безопасными, так как они не смогли бы использовать привязку сертификатов для своих соединений, и они не смогли бы доверять не доверенным в противном случае сертификатам, которые могут потребоваться для внутрикорпоративных соединений в компаниях, использующих внутренний PKI. Поэтому ответственность за то, чтобы их приложения не были уязвимы, лежит исключительно на самих разработчиках приложений.
Среди приложений с низким уровнем риска: ooVoo, ViaVideo, Snap Upload for Snapchat, Uploader Free for Snapchat и Cheetah Browser. Неудивительно, что некоторые из приложений ориентированы на Snapchat, о чем Штрафах говорил как о небезопасном в марте прошлого года.
Что касается приложений среднего и высокого риска, Штрафах пока не делится этим списком, пока должным образом не уведомит соответствующие компании-разработчики приложений о выявленных проблемах.
Тем временем пользователи могут предпринять несколько шагов для защиты от этих проблем. Правильно настроенный VPN может помочь смягчить эту проблему, что, как мы упоминали, Apple должна была бы встроить в iOS нативно. Если пользователи решат не использовать VPN на своих устройствах, Штрафах рекомендует им отключить Wi-Fi.
…если вы находитесь в общественном месте и вам нужно выполнить конфиденциальное действие на своем мобильном устройстве (например, открыть банковское приложение и проверить баланс счета), вы можете обойти проблему, открыв «Настройки» и выключив переключатель «Wi-Fi» перед выполнением конфиденциального действия. Хотя при использовании сотовой связи уязвимость все еще существует, перехват через сотовую связь гораздо сложнее, требует дорогостоящего оборудования, гораздо более заметен и довольно незаконен (в Соединенных Штатах). Поэтому злоумышленнику гораздо менее вероятно рисковать попыткой перехватить сотовую передачу данных.
Перейдите к публикации Штрафаха для полного и более технического разбора.