Специалист по информационной безопасности из компании Sudo Security Group Уилл Страфач изучил особенности работы приложений в App Store. Он пришёл к выводу, что в некоторых из них создана лишь имитация защиты.
Глава SSG обнаружил 76 приложений для iPhone, iPod touch и iPad, которые уязвимы к атакам, позволяющим перехватить данные. Эксперт считает, что из-за ошибок в коде программы могут принимать сторонние недействительные TLS-сертификаты. Примечательно, что TLS-протокол создан как раз для защиты приложения от утечки данных, но «ленивые разработчики» не позаботились о нем должным образом.
Программы в App Store тестировались созданным компанией сервисом verify.ly. Используя прокси-сервер, эксперт успешно внедрил в соединение недействительный сертификат TLS.
Страфач отметил, что 43 из 76 «недоработанных» программ представляют высокий и средний уровень риска — злоумышленник может перехватить логины, пароли и токены. Остальные 33 приложения менее опасны, они лишь передают электронные адреса.
Эксперт не озвучил названия приложений, но уже уведомил разработчиков о существующей проблеме. [Ars Technica]
4 комментария