Десятки iOS-приложений, которые шифруют информацию пользователей, были уличены в ненадежности. В ходе исследования, глава ИБ-компании Sudo Security Group Уилл Страфач обнаружил, что 76 приложений для iPhone и iPad уязвимы к атакам, позволяющим перехватить личные данные пользователей.
По утверждению эксперта, из-за ошибок в связанном с передачей данных коде, программы могут принимать недействительные сертификаты TLS. Протокол TLS применяется для защиты информации, которая передается приложением через интернет-соединение. Ввиду отсутствия защиты, хакер может получить доступ к трафику и перехватывать любые данные – например, логины и пароли.
«Такие атаки может осуществить кто угодно, находящийся в зоне действия сети Wi-Fi, пока вы пользуетесь вашим устройством. Атаки возможны в общественных местах или даже у вас дома, если атакующему удастся подобраться достаточно близко», – пояснил исследователь.
Страфач обнаружил проблему в 76 iOS-приложениях, просканировав их при помощи разработанного его компанией сервиса verify.ly. Исследователь протестировал уязвимые программы на iPhone, работающем под управлением iOS 10. Используя прокси-сервер, он успешно внедрил в соединение недействительный сертификат TLS.
Как утверждает исследователь, 43 из 76 приложений представляют высокий и средний уровень риска, поскольку злоумышленник может перехватить передаваемые логины, пароли и другую личную информацию. При этом 33 программы представляют меньшую угрозу – они позволяют перехватывать только электронные адреса.
В общей сложности 76 исследуемых приложений были загружены из магазина Apptopia 18 млн раз. При этом о фактическом злоупотреблении описанной выше проблемой, ничего не сообщается.
Страфач не раскрывает названия программ (что, кстати, очень жаль), тем не менее их создателям о наличии проблемы он уже сообщил.
Источник http://www.securitylab.ru/
