76 популярных приложений для iOS имеют уязвимость к скрытым атакам типа «человек посередине», в ходе которых злоумышленники могут перехватить и украсть данные вне зависимости от того, используют ли разработчики ATS (App Transport Security), или нет. Об этом сообщает verify.ly, сервис по тестированию безопасности iOS-приложений. Общее количество загрузок уязвимых iOS-приложений, по данным verify.ly, составляет 18 млн.
Отчет о найденных уязвимостях вышел после того, как Apple в очередной раз усилил контроль за безопасностью приложений в своей мобильной экосистеме. В июне прошлого года компания заявила, что потребует от всех приложений на iOS к 1 января 2017 года использовать исключительно защищенное соединение по HTTPS. Однако, в декабре минувшего года Apple сообщил о переносе сроков, не назвав точной даты полной миграции iOS-приложений на протокол HTTPS.
Как только будет объявлен окончательный срок перехода на защищенный протокол, в приложениях будет включена функция ATS, которая впервые была реализована в iOS 9. ATS принудительно переводит приложение на использование протокола HTTPS вместо HTTP, чтобы обеспечить защиту интернет-соединения.
«Однако, ATS (App Transport Security, безопасность транспорта приложений) в iOS не блокирует и не может блокировать подобную уязвимость», - поясняет, Уилл Страфак, основатель verify.ly.
В блоге Страфак поясняет, что 33 приложения с обнаруженной уязвимостью получили статус «низкий риск», поскольку «обнаруженная уязвимость позволяет украсть не слишком важные данные – информацию об устройстве, адрес электронной почти и/или логин с паролем, которые можно использовать только в безопасной сети». К приложениям с низким риском кражи личных данных отнесены Snap Upload для Snapchat, VICE News, Cheetah Browser и CodeScanner от студии ScanLife.
24 iOS-приложения получили рейтинг «средний риск». Найденные в них уязвимости дают злоумышленникам возможность перехватить «пару логин/пароль и/или токены аутентификации сессий для вошедших в сервис пользователей». Еще 19 приложений получили статус «наивысший риск». Брешь в их безопасности позволяет украсть данные для доступа к финансовым и медицинским сервисам, а также токены аутентификации сессий зарегистрированных пользователей.
Хотя Страфак назвал все 33 приложений со статусом «низкий риск» в блоге компании, остальные более уязвимые приложения будут объявлены в течение 60-90 дней, после того как verify.ly свяжется с банками, медицинскими провайдерам и другими разработчиками уязвимых приложений.
К сожалению, разработчики приложений – единственная сторона, способная полностью устранить найденные уязвимости, поясняет Страфак. «Бреши в безопасности вызваны сетевым кодом в iOS-приложениях, который был сконфигурирован неправильно и крайне неудачно», – сообщает он. Из-за этого ATS будет «видеть» соединение как проверенное HTTPS соединение. Однако, на самом деле интернет-соединение будет незащищенным, поскольку используется протокол HTTP.
«Apple никак не может закрыть уязвимость, поскольку в случае форсирования этого функционала для блокировки бреши, некоторые iOS-приложения станут менее защищенными, так как не смогут использовать получение сертификатов для собственных соединений. В свою очередь, действительность сторонних сертификатов, необходимых для интранет-соединений внутри корпоративных сетей с использованием внутреннего PKI, также проверить будет невозможно», - рассуждает Страфак.
Таким образом, ответственность за устранение уязвимостей в приложении лежит исключительно на его разработчике. Страфак советует разработчикам быть внимательными при изменении поведения приложений или использовании сетевого кода.
Компаниям, публикующим приложения в App Store, стоит задуматься об анализе билдов до того, как они будут предоставлены команде Apple на рассмотрение. Пока, принимая во внимание использование уязвимости преимущественно в Wi-Fi сетях, конечным пользователям, работающим с важными личными данными в приложениях в общественных интернет-сетях, стоит отключить Wi-Fi в настройках iPhone или iPad перед использованием приложения с уязвимостью. В сотовой сети украсть личные данные значительно сложнее, чем в общественных Wi-Fi сетях.
Ключевые выводы отчета verify.ly об уязвимости в iOS-приложениях:
Другие новости по теме:
Постоянный адрес публикации: http://www.procontent.ru/news/30726.html
© Антон Веремьянин «Мобильный Контент»