Anuncio
SourceDNA, una plataforma de análisis de código que audita aplicaciones de Android e iOS, lanzó recientemente un informe que indica que más de 1,000 aplicaciones de iOS tienen una grave vulnerabilidad de seguridad que podría comprometer la situación financiera de un usuario detalles.
El error evita que las aplicaciones se autentiquen correctamente Certificados SSL ¿Qué es un certificado SSL y necesita uno?Navegar por Internet puede dar miedo cuando se trata de información personal. Lee mas , abriendo las aplicaciones a una serie de ataques de hombre en el medio. Si bien esta aplicación no afecta el seguridad del propio iOS Seguridad de teléfonos inteligentes: ¿pueden los iPhones obtener malware?El malware que afecta a "miles" de iPhones puede robar las credenciales de la App Store, pero la mayoría de los usuarios de iOS están perfectamente seguros, entonces, ¿cuál es el problema con iOS y el software malicioso? Lee mas , podría comprometer los datos del usuario transmitidos a través de las aplicaciones afectadas ...
Un error simple que rompe SSL
los error en cuestión está en el paquete AFNetworking, una popular solución de red de código abierto utilizada en miles de aplicaciones de la App Store. El error es un error lógico simple que impide que la verificación SSL se lleve a cabo, devolviendo todas las verificaciones de certificados como válidas. Este no es un desastre de seguridad masivo como HeartBleed Heartbleed: ¿qué puede hacer para mantenerse a salvo? Lee mas o Neurosis de guerra ¿Peor que sangrado? Conozca ShellShock: una nueva amenaza de seguridad para OS X y Linux Lee mas - pero es un problema si usa una aplicación que contiene el error. Afortunadamente, el error existió solo durante aproximadamente seis semanas, se agregó en 2.5.1 y se corrigió en 2.5.2. Es razonable suponer que ese es el final de la historia.
Lamentablemente no.
Lamentablemente, muchos desarrolladores no mantienen activamente sus aplicaciones actualizadas con correcciones de errores, y hay una Un montón de aplicaciones que todavía usan la versión rota de AFNetworking, a pesar de la disponibilidad de un parche. SourceDNA analizó 20,000 aplicaciones que contienen versiones del paquete AFNetworking, y determinó que alrededor de 1,000 todavía están usando la verificación SSL rota.
SourceDNA pudo realizar esta verificación mediante el uso de herramientas de análisis que permiten analizar los archivos binarios de miles de aplicaciones. Su tecnología les permite identificar no solo con qué bibliotecas se compilaron estas aplicaciones, sino con qué versiones de esas bibliotecas. Como resultado, esto es increíblemente útil para identificar qué aplicaciones pueden verse afectadas por errores y vulnerabilidades conocidas. Según el documento publicado,
“SourceDNA creó una huella digital diferencial para encontrar el código vulnerable. Piense en esto como un conjunto de características únicas que estaban presentes o ausentes solo en la versión específica y no en ninguna otra antes o después. Con este conjunto de firmas, nuestro motor de análisis nos dirá exactamente qué versión de AFNetworking estaba en uso en cada aplicación. “
Muchas de las aplicaciones afectadas almacenan y transmiten datos de la tarjeta de crédito del usuario, incluyendo la Aplicación móvil Alibaba.com, KYBankAgent 3.0y Restaurante Revo Punto de Venta. Varios millones de usuarios tienen una aplicación vulnerable instalada en su dispositivo iOS, una cantidad asombrosa de exposición por un error tan breve.
“El 5% o alrededor de 1,000 aplicaciones tenían la falla. ¿Son importantes estas aplicaciones? Los comparamos con nuestros datos de rango y encontramos algunos grandes jugadores: Yahoo!, Microsoft, Uber, Citrix, etc. Nos sorprende que una biblioteca de código abierto que introdujo una falla de seguridad por solo 6 semanas expuesta millones de usuarios para atacar ".
Evaluar el impacto de la Error de red AF
¿Qué tan grave es esta vulnerabilidad? El error permite a los atacantes engañar a las aplicaciones haciéndoles creer que se están comunicando a través de una conexión segura con un servidor de confianza. Si está utilizando una aplicación vulnerable, cualquier persona en la misma red WiFi que usted pueda configurar ataque de hombre en el medio ¿Qué es un ataque de hombre en el medio? Jerga de seguridad explicadaSi has oído hablar de ataques de "hombre en el medio" pero no estás muy seguro de lo que eso significa, este es el artículo para ti. Lee mas e interceptar información de las aplicaciones, incluidos datos confidenciales como información de tarjeta de crédito. Esta información podría ser utilizada para facilitar el robo de identidad 6 señales de advertencia de robo de identidad digital que no debes ignorarEl robo de identidad no es muy raro en estos días, sin embargo, a menudo caemos en la trampa de pensar que siempre le sucederá a "alguien más". No ignores las señales de advertencia. Lee mas y otras formas de fraude. Potencialmente, este tipo de ataque podría automatizarse para apuntar a aplicaciones populares.
Varias compañías han lanzado actualizaciones y correcciones desde que se conoció la noticia, incluidas Microsoft y Yahoo. Sin embargo, la mayoría de las aplicaciones permanecen sin parchear. Para ver si las aplicaciones que usa están afectadas, puede usar la herramienta de búsqueda de SourceDNA. Si descubre que una de sus aplicaciones sigue siendo vulnerable, la estrategia más segura es eliminarla temporalmente y enviar un mensaje a los desarrolladores pidiéndoles que publiquen un parche lo antes posible.
SourceDNA es una herramienta inteligente, y esto demuestra que su tecnología es realmente útil. La seguridad informática es difícil, y una herramienta que puede automatizar el proceso de búsqueda de errores sin parches, con o sin cooperación del desarrollador, es una gran victoria para la seguridad del usuario. Sin este tipo de comprobación, este error generalizado habría persistido, probablemente durante mucho tiempo. Este tipo de análisis permite una vergüenza pública masiva que hace que los desarrolladores sean mucho más responsables, y parece probable que SourceDNA descubra más problemas no detectados y no resueltos.
¿Su dispositivo iOS se ve afectado por el error de AFNetworking? ¿Estás emocionado con estas nuevas herramientas de análisis? ¡Háganos saber en los comentarios!
Créditos de imagen: "Guerra Cibernética de la Marina de los EE. UU."," IPhone frontal "cámara iPhone", Por Wikimedia
Escritor y periodista con sede en el suroeste, Andre tiene la garantía de permanecer funcional hasta 50 grados centígrados y es resistente al agua hasta una profundidad de doce pies.
