Півтори тисячі додатків для iPhone містять критичну уразливість. 2 млн користувачів під загрозою

Фахівці з інформаційної безпеки виявили в півтора тисячах додатків для iPhone і iPad вразливість, що дозволяє зловмисникам викрадати логіни і паролі користувачів.

Півтори тисячі додатків для iPhone містять критичну уразливість. 2 млн користувачів під загрозою
Півтори тисячі додатків для iPhone містять критичну уразливість. 2 млн користувачів під загрозою

 

Всього завантажень цих додаткиі налічується 2 млн. Вони містять критичну вразливість, що дозволяє зловмисникам викрадати з цих програм аутентифікаційні дані користувачів.

У число цих додатків увійшли Alibaba.com (додаток однойменного інтернет-магазину), Citrix OpenVoice Audio Conferencing (управління конференціями), Movies by Flixster (інтернет-кінотеатр), KYBankAgent 3.0, Revo Restaurant POS (управління рестораном) та інші.

Фахівці SourceDNA опублікували в інтернеті базу даних вразливих додатків з функцією пошуку.

Вразливість міститься в одній з найпопулярніших відкритих бібліотек, використовуваних розробниками додатків для iOS і OS X, -AFNetworking. Вона призначена для додавання в програми мережевих можливостей, що включають виконання HTTP-запитів.

Критична вразливість в AFNetworking була виявлена ​​в березні 2015 фахівцями Minded Security Research Labs. Вона дозволяє проводити атаки типу “man in the middle” і успішно перехоплювати мережевий трафік між додатком і сервером, обходячи шифрування SSL.

Вразливість була усунута, однак вона перебувала в коді AFNetworking, опублікованому на ресурсі GitHub, протягом двох місяців. В результаті ця вразливість була перенесена в оновлення всіх додатків незалежних розробників.

Одна з останніх вразливостей безпосередньо в iOS була виявлена ​​в кінці 2014. Вона дозволяє зловмисникам маскувати шкідливі програми під справжні.