76 популярных приложений в App Store позволяют перехватывать данные пользователей

| 6 011
FavoriteLoading В закладки
76 популярных приложений в App Store позволяют перехватывать данные пользователей

Специалист по информационной безопасности из компании Sudo Security Group Уилл Страфач изучил особенности работы приложений в App Store. Он пришёл к выводу, что в некоторых из них создана лишь имитация защиты.

Глава SSG обнаружил 76 приложений для iPhone, iPod touch и iPad, которые уязвимы к атакам, позволяющим перехватить данные. Эксперт считает, что из-за ошибок в коде программы могут принимать сторонние недействительные TLS-сертификаты. Примечательно, что TLS-протокол создан как раз для защиты приложения от утечки данных, но «ленивые разработчики» не позаботились о нем должным образом.

Подобные атаки может осуществить кто угодно, находящийся в зоне действия сети Wi-Fi, пока вы пользуетесь вашим устройством. Атаки возможны в общественных местах или даже у вас дома, если атакующему удастся подобраться достаточно близко. — эксперты SSG

Программы в App Store тестировались созданным компанией сервисом verify.ly. Используя прокси-сервер, эксперт успешно внедрил в соединение недействительный сертификат TLS.

Страфач отметил, что 43 из 76 «недоработанных» программ представляют высокий и средний уровень риска — злоумышленник может перехватить логины, пароли и токены. Остальные 33 приложения менее опасны, они лишь передают электронные адреса.

Эксперт не озвучил названия приложений, но уже уведомил разработчиков о существующей проблеме. [Ars Technica]

Оставайся в теме. Подпишись на наш Telegram 👏
FavoriteLoading В закладки
undefined
iPhones.ru
Кто-то «накосячил» на этапе шифрования данных, ай-ай.
Прокомментировать

🙈 Комментарии 4

  1. xo66killer avatar
    xo66killer7 февраля 2017
    0

    “Подобные атаки может осуществить кто угодно, находящийся в зоне действия сети Wi-Fi, пока вы пользуетесь вашим устройством. Атаки возможны в общественных местах или даже у вас дома, если атакующему удастся подобраться достаточно близко.”
    А я то думаю, че в метро так все прижимаются друг к другу, американцам надо искать русских хакеров в метро.

  2. ILYA2606 avatar
    ILYA26067 февраля 2017
    1

    Уверен, что опцию “Allow Arbitrary Loads” используют 50% клиент-серверных приложений Appstore. Пока что такие приложения Apple пропускает :)

    PixelMixel avatar
    PixelMixel7 февраля 2017
    0

    @ILYA2606, если это один из самых популярных советов на SO, то такое положение дел неудивительно.

    ILYA2606 avatar
    ILYA26067 февраля 2017
    0

    @PixelMixel, верно :)

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь