Специалисты по информационной безопасности из компании SourceDNA обнаружили критическую уязвимость в полутора тысячах приложений для iPhone и iPad. Она позволяет злоумышленникам похищать аутентификационные данные пользователей, пишет CNews.
Потенциально опасные iOS-приложения были загружены в общей сложности более 2 млн раз — это, в том числе, приложение интернет-магазина Alibaba.
com, приложение для управления совещаниями Citrix OpenVoice Audio Conferencing, приложение интернет-кинотеатра Movies by Flixster, приложение для управления рестораном Revo Restaurant POS и другие.Специалисты SourceDNA опубликовали в интернете базу данных уязвимых приложений с функцией поиска.
Эта уязвимость содержалась и в одной из самых популярных открытых библиотек, используемых разработчиками приложений для iOS и OS X, — AFNetworking. Она была обнаружена в марте и устранена, но до тех пор находилась в коде AFNetworking в течение двух месяцев.
Уязвимость предназначена для добавления в программы сетевых возможностей, включая выполнение HTTP-запросов. С ее помощью можно проводить атаки типа «человек посередине», перехватывая сетевой трафик между приложением и сервером, обходя шифрование SSL. Атакующий использует поддельный SSL-сертификат для установления связи с приложением.
По мере роста популярности смартфонов и планшетов тема безопасности мобильных устройств набирает актуальность. iOS традиционно считается более безопасной платформой, чем Android, но и она не без греха: так, в конце прошлого года непосредственно в самой iOS была обнаружена уязвимость, позволяющая злоумышленникам маскировать вредоносные приложения под подлинные.
При этом владельцев мобильных устройств в России мало заботят вопросы безопасности — так, две трети не пользуются специальными антивирусными программами для смартфонов и планшетов, а более половины пользователей не стремятся обезопасить себя хотя бы с помощью сложного и уникального пароля.
…