Более 70 iOS-приложений позволяют перехватывать данные пользователей

Десятки iOS-приложений, которые шифруют информацию пользователей, были уличены в ненадежности. В ходе исследования, глава ИБ-компании Sudo Security Group Уилл Страфач обнаружил, что  76 приложений для iPhone и iPad уязвимы к атакам, позволяющим перехватить личные данные пользователей.

По утверждению эксперта, из-за ошибок в связанном с передачей данных коде, программы могут принимать недействительные сертификаты TLS. Протокол TLS применяется для защиты информации, которая передается приложением через интернет-соединение. Ввиду отсутствия защиты,  хакер может получить доступ к трафику и перехватывать любые данные – например, логины и пароли.

«Такие атаки может осуществить кто угодно, находящийся в зоне действия сети Wi-Fi, пока вы пользуетесь вашим устройством. Атаки возможны в общественных местах или даже у вас дома, если атакующему удастся подобраться достаточно близко», – пояснил исследователь.

Страфач обнаружил проблему в 76 iOS-приложениях, просканировав их при помощи разработанного его компанией сервиса verify.ly. Исследователь протестировал уязвимые программы на iPhone, работающем под управлением iOS 10. Используя прокси-сервер, он успешно внедрил в соединение недействительный сертификат TLS.

Как утверждает исследователь, 43 из 76 приложений представляют высокий и средний уровень риска, поскольку злоумышленник может перехватить передаваемые логины, пароли и другую личную информацию. При этом 33 программы представляют меньшую угрозу – они позволяют перехватывать только электронные адреса.

В общей сложности 76 исследуемых приложений были загружены из магазина Apptopia 18 млн раз. При этом о фактическом злоупотреблении описанной выше проблемой, ничего не сообщается.

Страфач не раскрывает названия программ (что, кстати, очень жаль), тем не менее их создателям о наличии проблемы он уже сообщил.

Источник http://www.securitylab.ru/

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*