Десятки iOS-приложений позволяют перехватывать данные пользователей

Десятки iOS-приложений позволяют перехватывать данные пользователей

Из-за ошибок в коде приложения могут принимать недействительные сертификаты TLS.  

Десятки iOS-приложений, шифрующих информацию пользователей, делают это ненадлежащим образом. Глава ИБ-компании Sudo Security Group Уилл Страфач (Will Strafach) обнаружил 76 приложений для iPhone и iPad, уязвимых к атакам, позволяющим перехватить данные.

По словам Страфача, из-за ошибок в связанном с передачей данных коде программы могут принимать недействительные сертификаты TLS. Протокол TLS используется для защиты информации, передаваемой приложением через интернет-соединение. Без него хакер может прослушивать трафик и перехватывать любые интересующие его данные, например, логины и пароли.

«Подобные атаки может осуществить кто угодно, находящийся в зоне действия сети Wi-Fi, пока вы пользуетесь вашим устройством. Атаки возможны в общественных местах или даже у вас дома, если атакующему удастся подобраться достаточно близко», - пояснил эксперт.

Страфач обнаружил проблему в 76 iOS-приложениях, просканировав их с помощью разработанного его компанией сервиса verify.ly. Исследователь протестировал уязвимые программы на iPhone, работающем под управлением iOS 10. Используя прокси-сервер, эксперт успешно внедрил в соединение недействительный сертификат TLS.

По словам исследователя, 43 из 76 приложений представляют высокий и средний уровень риска, поскольку злоумышленник может перехватить передаваемые ими логины, пароли и токены. Остальные 33 программы несут меньшую угрозу, поскольку позволяют перехватывать лишь электронные адреса.

В общей сложности 76 исследуемых приложений были загружены из магазина Apptopia 18 млн раз. Страфач не раскрывает названия программ, однако уже уведомил их создателей о проблеме.

Наш контент расширяется быстрее Вселенной!

Большой взрыв знаний каждый день в вашем телефоне

Подпишитесь, пока мы не вышли за горизонт событий