Десятки популярных приложений для iPhone оказались уязвимы несмотря на ATS

76 популярных приложений для iOS имеют уязвимость к скрытым атакам типа «человек посередине», в ходе которых злоумышленники могут перехватить и украсть данные вне зависимости от того, используют ли разработчики ATS (App Transport Security), или нет. Об этом сообщает verify.ly, сервис по тестированию безопасности iOS-приложений. Общее количество загрузок уязвимых iOS-приложений, по данным verify.ly, составляет 18 млн.

Отчет о найденных уязвимостях вышел после того, как Apple в очередной раз усилил контроль за безопасностью приложений в своей мобильной экосистеме. В июне прошлого года компания заявила, что потребует от всех приложений на iOS к 1 января 2017 года использовать исключительно защищенное соединение по HTTPS. Однако, в декабре минувшего года Apple сообщил о переносе сроков, не назвав точной даты полной миграции iOS-приложений на протокол HTTPS.

Как только будет объявлен окончательный срок перехода на защищенный протокол, в приложениях будет включена функция ATS, которая впервые была реализована в iOS 9. ATS принудительно переводит приложение на использование протокола HTTPS вместо HTTP, чтобы обеспечить защиту интернет-соединения.

«Однако, ATS (App Transport Security, безопасность транспорта приложений) в iOS не блокирует и не может блокировать подобную уязвимость», - поясняет, Уилл Страфак, основатель verify.ly.

В блоге Страфак поясняет, что 33 приложения с обнаруженной уязвимостью получили статус «низкий риск», поскольку «обнаруженная уязвимость позволяет украсть не слишком важные данные – информацию об устройстве, адрес электронной почти и/или логин с паролем, которые можно использовать только в безопасной сети». К приложениям с низким риском кражи личных данных отнесены Snap Upload для Snapchat, VICE News, Cheetah Browser и CodeScanner от студии ScanLife.

24 iOS-приложения получили рейтинг «средний риск». Найденные в них уязвимости дают злоумышленникам возможность перехватить «пару логин/пароль и/или токены аутентификации сессий для вошедших в сервис пользователей». Еще 19 приложений получили статус «наивысший риск». Брешь в их безопасности позволяет украсть данные для доступа к финансовым и медицинским сервисам, а также токены аутентификации сессий зарегистрированных пользователей.

Хотя Страфак назвал все 33 приложений со статусом «низкий риск» в блоге компании, остальные более уязвимые приложения будут объявлены в течение 60-90 дней, после того как verify.ly свяжется с банками, медицинскими провайдерам и другими разработчиками уязвимых приложений.

К сожалению, разработчики приложений – единственная сторона, способная полностью устранить найденные уязвимости, поясняет Страфак. «Бреши в безопасности вызваны сетевым кодом в iOS-приложениях, который был сконфигурирован неправильно и крайне неудачно», – сообщает он. Из-за этого ATS будет «видеть» соединение как проверенное HTTPS соединение. Однако, на самом деле интернет-соединение будет незащищенным, поскольку используется протокол HTTP.

«Apple никак не может закрыть уязвимость, поскольку в случае форсирования этого функционала для блокировки бреши, некоторые iOS-приложения станут менее защищенными, так как не смогут использовать получение сертификатов для собственных соединений. В свою очередь, действительность сторонних сертификатов, необходимых для интранет-соединений внутри корпоративных сетей с использованием внутреннего PKI, также проверить будет невозможно», - рассуждает Страфак.

Таким образом, ответственность за устранение уязвимостей в приложении лежит исключительно на его разработчике. Страфак советует разработчикам быть внимательными при изменении поведения приложений или использовании сетевого кода.

Компаниям, публикующим приложения в App Store, стоит задуматься об анализе билдов до того, как они будут предоставлены команде Apple на рассмотрение. Пока, принимая во внимание использование уязвимости преимущественно в Wi-Fi сетях, конечным пользователям, работающим с важными личными данными в приложениях в общественных интернет-сетях, стоит отключить Wi-Fi в настройках iPhone или iPad перед использованием приложения с уязвимостью. В сотовой сети украсть личные данные значительно сложнее, чем в общественных Wi-Fi сетях.

Ключевые выводы отчета verify.ly об уязвимости в iOS-приложениях:

• 76 приложений с общим количеством скачиваний свыше 18 млн содержат брешь в безопасности, которая позволяет украсть личные данные пользователей.
• Приложения уязвимы даже в том случае, если разработчик использовал функционал ATS (App Transport Security) от Apple, который принудительно переводит все интернет-соединения приложения на защищенный протокол HTTPS вместо HTTP.
• Ликвидировать уязвимость в iOS-приложениях могут исключительно разработчики. Пока конечные пользователи и компании должны принять собственные меры для защиты важных данных (использование мобильного интернета вместо Wi-Fi при работе в приложениях с уязвимостью).

Другие новости по теме:

• Инки против Чернобыля - новый блокбастер от Attack Software
• iPhone: тачскрин и датчик близости за $499
• 10 вещей, на которые будет способен мобильный телефон после 2010 года
• "Тиграми не рождаются" - новогоднее поздравление Евросети
• Viber начинает монетизацию, предлагая покупать стикеры и смайлы
• Tjournal: новая эпоха

Постоянный адрес публикации: http://www.procontent.ru/news/30726.html