Ponad 25 tys. aplikacji na iOS potencjalnym zagrożeniem

HTTPS to - teoretycznie - bezpieczne połączenie z siecią, jak jednak wykryli specjaliści, jedna z bibliotek używanych na iOS i Max OS X może okazać się furtką dla włamywaczy.

Odkrycia dokonali eksperci bezpieczeństwa z firmy SourceDNA, a feralna biblioteka to open-source'owa AFNetworking 2.5.2. Deweloperzy używają jej do komunikacji sieciowej, w tym zaszyfrowanych połączeń HTTPS. Odnaleziona w niej luka pozwala hakerowi na przechwycenie ruchu pomiędzy aplikacją a siecią - czyli klasyczny sposób man-in-the-middle, podobnie jak w przypadku (nie)sławnego prezentu od Lenovo - Superfish. Jedna pozytywna rzecz tej sytuacji to fakt, że aby wykonać taką akcję, haker musi najpierw włamać się do sieci bezprzewodowej lub rutera.

Ponad 25 tys. aplikacji na iOS potencjalnym zagrożeniem

Jak oceniają wspomniani eksperci z SourceDNA, aktualnie z biblioteki AFNetworking 2.5.2 korzysta ponad 25 tysięcy aplikacji na iOS. Jej nowsza wersja, 2.5.3, ujrzała światło dzienne 20 kwietnia 2015 i jest już wolna od błędu poprzedniczki. Jak a ironię losu, w wersji 2.5.1 biblioteki również była pewna luka - a biblioteka ta znalazła się w ponad 100 tysiącach aplikacji na iOS. SourceDNA uruchomiło specjalny serwis www - Searchlight, na którym każdy użytkownik mobilnego sprzętu Apple może sprawdzić, które z zainstalowanych na jego urządzeniu apek używają dziurawych bibliotek. Na liście producentów, którzy dostarczali wyposażone w nie oprogramowanie są najwięksi gracze na rynku - Microsoft, Google i Yahoo.