Дата:08/02/17
Десятки iOS-приложений, шифрующих информацию пользователей, делают это ненадлежащим образом. Глава ИБ-компании Sudo Security Group Уилл Страфач (Will Strafach) обнаружил 76 приложений для iPhone и iPad, уязвимых к атакам, позволяющим перехватить данные.
По словам Страфача, из-за ошибок в связанном с передачей данных коде программы могут принимать недействительные сертификаты TLS. Протокол TLS используется для защиты информации, передаваемой приложением через интернет-соединение. Без него хакер может прослушивать трафик и перехватывать любые интересующие его данные, например, логины и пароли.
«Подобные атаки может осуществить кто угодно, находящийся в зоне действия сети Wi-Fi, пока вы пользуетесь вашим устройством. Атаки возможны в общественных местах или даже у вас дома, если атакующему удастся подобраться достаточно близко», - пояснил эксперт.
Страфач обнаружил проблему в 76 iOS-приложениях, просканировав их с помощью разработанного его компанией сервиса verify.ly. Исследователь протестировал уязвимые программы на iPhone, работающем под управлением iOS 10. Используя прокси-сервер, эксперт успешно внедрил в соединение недействительный сертификат TLS.
По словам исследователя, 43 из 76 приложений представляют высокий и средний уровень риска, поскольку злоумышленник может перехватить передаваемые ими логины, пароли и токены. Остальные 33 программы несут меньшую угрозу, поскольку позволяют перехватывать лишь электронные адреса.
В общей сложности 76 исследуемых приложений были загружены из магазина Apptopia 18 млн раз. Страфач не раскрывает названия программ, однако уже уведомил их создателей о проблеме, сообщает SecurityLab.
Десятки iOS-приложений позволяют перехватывать данные пользователей
Десятки iOS-приложений, шифрующих информацию пользователей, делают это ненадлежащим образом. Глава ИБ-компании Sudo Security Group Уилл Страфач (Will Strafach) обнаружил 76 приложений для iPhone и iPad, уязвимых к атакам, позволяющим перехватить данные.По словам Страфача, из-за ошибок в связанном с передачей данных коде программы могут принимать недействительные сертификаты TLS. Протокол TLS используется для защиты информации, передаваемой приложением через интернет-соединение. Без него хакер может прослушивать трафик и перехватывать любые интересующие его данные, например, логины и пароли.
«Подобные атаки может осуществить кто угодно, находящийся в зоне действия сети Wi-Fi, пока вы пользуетесь вашим устройством. Атаки возможны в общественных местах или даже у вас дома, если атакующему удастся подобраться достаточно близко», - пояснил эксперт.
Страфач обнаружил проблему в 76 iOS-приложениях, просканировав их с помощью разработанного его компанией сервиса verify.ly. Исследователь протестировал уязвимые программы на iPhone, работающем под управлением iOS 10. Используя прокси-сервер, эксперт успешно внедрил в соединение недействительный сертификат TLS.
По словам исследователя, 43 из 76 приложений представляют высокий и средний уровень риска, поскольку злоумышленник может перехватить передаваемые ими логины, пароли и токены. Остальные 33 программы несут меньшую угрозу, поскольку позволяют перехватывать лишь электронные адреса.
В общей сложности 76 исследуемых приложений были загружены из магазина Apptopia 18 млн раз. Страфач не раскрывает названия программ, однако уже уведомил их создателей о проблеме, сообщает SecurityLab.
Просмотры: 444
При использовании ссылка на ictnews.az обязательна
Похожие новости
- Американцы обвиняют Cisco в пособничестве интернет-цензуре в Китае
- Интернет-атаки будут приравниваться к военным действиям
- МВФ подвергся серьезной атаке хакеров
- Пользователи Firefox могут стать жертвой новой мошеннической схемы
- Хакеры устанавливают на компьютеры опасное ПО
- В Турции арестовали более 30 хакеров из Anonymous
- Хакеры взломали внутреннюю сеть Сената США
- В Германии сегодня открылся Национальный центр киберзащиты
- Lulz Security атаковали сайт подразделения британской полиции
- Мобильные телефоны выявят проблемы с сердцем
- Хакеры из Lulz Sec объявили о прекращении деятельности
- Хакеры взломали Twitter телеканала Fox News и написали о смерти Обамы
- Ключевой член хакерской группы LulzSec дал эксклюзивное интервью журналу New Scientist
- В Италии задержаны 15 участников хакерской группы Anonymous
- Объем спама по электронной почте уменьшился в пять раз
