用于审核Android和iOS应用程序的代码分析平台SourceDNA最近发布了一份报告,该报告表明超过1,000个iOS应用程序具有严重的安全漏洞,可能会危及用户的财务信息。
该错误阻止了这些应用程序无法正确验证SSL证书,可能会破坏通过受影响的应用程序传输的用户数据……
一个破坏SSL的简单错误
该错误位于AFNetworking软件包中,流行的开源网络解决方案,已在数千个App Store应用中使用。该错误是一个简单的逻辑错误,它会阻止SSL检查实际发生,并将所有证书检查返回为有效。这不是像HeartBleed这样的大规模安全灾难,但是,如果您使用包含错误的应用程序,那将是一个问题。幸运的是,该错误仅存在了大约六个星期,在2.5.1中已添加,并在2.5.2中已修复。
不幸的是,不是。
不幸的是,许多开发人员没有积极地通过错误修复使他们的应用程序保持最新。尽管有可用的补丁程序,但仍有许多应用程序仍在使用AFNetworking的损坏版本。 SourceDNA分析了20,000个包含AFNetworking软件包版本的应用程序,并确定约有1,000个仍在使用断开的SSL检查。
SourceDNA能够通过使用分析来执行此检查可以分析成千上万个应用程序的二进制文件的工具。他们的技术使他们不仅可以识别使用这些应用程序编译的哪个库,还可以识别这些库的哪个版本。事实证明,这对于确定哪些应用可能受到已知错误和漏洞的影响非常有用。根据发布的论文,
“ SourceDNA从它们身上创建了一个差异指纹,以找到易受攻击的代码。可以将其视为一组唯一的特征,这些特征仅在目标版本中存在或不存在,而在目标版本之前或之后不存在。有了这组签名,我们的分析引擎就会准确告诉我们每个应用程序使用的是哪个版本的AFNetworking。 “
许多受影响的应用存储和传输用户信用卡数据,包括Revo Restaurant销售点。数百万用户在其iOS设备上安装了一个易受攻击的应用程序–如此短暂的漏洞所导致的暴露程度令人惊讶。
用户受到攻击。"
评估AFNetworking的影响错误
此漏洞的严重程度如何?该错误使攻击者可以欺骗应用程序,使其认为自己正在通过安全连接与受信任的服务器进行通信。如果您使用的是易受攻击的应用程序,则与您位于同一WiFi网络上的任何人都可以设置中间人攻击和其他形式的欺诈。潜在地,这种攻击可能会自动针对流行的应用程序。
自消息传出以来,许多公司已赶紧进行更新和修复,包括Microsoft和Yahoo。不过,大多数应用仍未打补丁。要查看您使用的应用程序是否受到影响,可以使用SourceDNA搜索工具。如果您发现自己的某个应用仍然容易受到攻击,最安全的策略是暂时将其删除,并向开发人员发送消息,要求他们尽快发布补丁。
SourceDNA是一种聪明的工具,这表明他们的技术是真正有用的。计算机安全性很难,有一种工具可以使寻找未修补错误的过程自动化(无论有无开发人员合作),都是用户安全的巨大胜利。如果没有这种检查,这种广泛存在的错误可能会持续很长时间。这种分析使大众感到羞耻,这使开发人员更加负责,并且SourceDNA可能会发现进一步未被发现和解决的问题。
您的iOS设备是否受到AFNetworking错误的影响?您对这些新的分析工具感到兴奋吗?在评论中让我们知道!
图片来源:“美国海军网络战",“ iPhone正面",“ iPhone摄像头",作者Wikimedia
