News Ponad 25 tys. aplikacji na iOS potencjalnym zagrożeniem

HTTPS to - teoretycznie - bezpieczne połączenie z siecią, jak jednak wykryli specjaliści, jedna z bibliotek używanych na iOS i Max OS X może okazać się furtką dla włamywaczy.

Odkrycia dokonali eksperci bezpieczeństwa z firmy SourceDNA, a feralna biblioteka to open-source'owa AFNetworking 2.5.2. Deweloperzy używają jej do komunikacji sieciowej, w tym zaszyfrowanych połączeń HTTPS. Odnaleziona w niej luka pozwala hakerowi na przechwycenie ruchu pomiędzy aplikacją a siecią - czyli klasyczny sposób man-in-the-middle, podobnie jak w przypadku (nie)sławnego prezentu od Lenovo - Superfish. Jedna pozytywna rzecz tej sytuacji to fakt, że aby wykonać taką akcję, haker musi najpierw włamać się do sieci bezprzewodowej lub rutera.

Jak oceniają wspomniani eksperci z SourceDNA, aktualnie z biblioteki AFNetworking 2.5.2 korzysta ponad 25 tysięcy aplikacji na iOS. Jej nowsza wersja, 2.5.3, ujrzała światło dzienne 20 kwietnia 2015 i jest już wolna od błędu poprzedniczki. Jak a ironię losu, w wersji 2.5.1 biblioteki również była pewna luka - a biblioteka ta znalazła się w ponad 100 tysiącach aplikacji na iOS. SourceDNA uruchomiło specjalny serwis www - Searchlight, na którym każdy użytkownik mobilnego sprzętu Apple może sprawdzić, które z zainstalowanych na jego urządzeniu apek używają dziurawych bibliotek. Na liście producentów, którzy dostarczali wyposażone w nie oprogramowanie są najwięksi gracze na rynku - Microsoft, Google i Yahoo.