Cel putin 25.000 de aplicatii disponibile in App Store contin o vulnerabilitate critica, ce ar putea pune pe butuci protectiile oferite de standardul HTTPS. Este a doua vulnerabilitate descoperita intr-o singura saptamana. Daca prima afecta aproximativ 1.500 de aplicatii, aceasta are o raspandire de 16 ori mai mare.
Bug-ul descoperit in urma cu cateva zile apare in libraria open-source AFNetworking, care le permite dezolvatorilor sa ofere posibilitatea de conectare in aplicatiile de iOS sau OS X. Toate aplicatile care folosesc versiunea neactualizata a acestei librarii sunt vulnerabile atacurilor ce pot intercepta traficul de date, chiar si atunci cand acesta e protejat de un certificat SSL.
“Rezultatul e ca un atacator care detine un certificat valid poate trage cu urechea, sa spunem asa, sau poate modifica o sesiune SSL initiata de aplicatia care foloseste libraria respectiva”, spune Nate Lawson, seful SourceDNA, o companie specializata in analiza problemelor de securitate informatica.
“Problema e ca numele domeniului nu este verificat, chiar daca certificatul este emis de o institutie autorizata. Eu pot de exemplu sa pretind ca site-ul meu este microsoft.com prezentand un cerfiticat pentru un alt site”, a adaugat Lawson, care estimeaza ca numarul aplicatiilor afectate ar putea atinge chiar si 50.000. Printre acestea se numara inclusiv aplicatii bancare.
A doua vulnerabilitate este rezultatul direct al primului bug. Si aceasta afecteaza aceeasi librarie AFNetworking, dar marea diferenta e ca e prezenta in toate versiunile noi 2.X, cu exceptia ultimului update, 2.5.3. Cu toate ca cei care mentin AFNetworking au reparat problema, majoritatea aplicatiilor nu sunt actualizate la ultima versiune, conform Endgadget.
