Unele aplicaţii iOS sunt vulnerabile la atacuri din cauza unei biblioteci de funcţii open-source

Apple se laudă cu securitatea ridicată a sistemului de operare iOS, chiar dacă acesta nu a fost chiar imun la toate tipurile de atacuri. Producătorii de aplicaţii pot genera la rândul lor breşe suplimentare de securitate, cea mai recentă fiind descoperită de SourceDNA şi afectând securitatea aplicaţiilor care folosesc o bibliotecă de funcţii open-source.

Conform unei analize publicată acum două zile, o serie de aplicaţii iOS permit interceptarea datelor cu caracter personal deoarece folosesc o versiune vulnerabilă a bibliotecii de funcţii AFNetworking. Breşa a apărut în codul-sursă al proiectului open-source AFNetworking la sfârşitul lunii ianuarie şi a fost corectată după două luni, însă dezvoltatorii de aplicaţii care au folosit versiunea 2.5.1 a acestei biblioteci de funcţii şi nu şi-au actualizat încă produsele software pun în pericol datele utilizatorilor.

SourceDNA afirmă că vulnerabilitatea afectează modul de procesare a certificatelor SSL folosite pentru criptarea traficului HTTPS. Atacatorii pot intercepta traficul generat de aceste aplicaţii şi pot iniţia un atac man-in-the-middle care le va pune la dispoziţie date de autentificare, date bancare şi alte informaţii cu caracter personal.

În mod normal, utilizarea unui certificat de securitate fals ar trebui să fie recunoscută de către aplicaţiile care folosesc funcţiile SSL din AFNetworking, însă algoritmii logici din versiunea 2.5.1 a acestei biblioteci de funcţii validează în mod greşit şi certificatele invalide. Datorită arhitecturii protejate a platformei iOS, vulnerabilitatea afectează doar aplicaţia problematică, nu şi restul aplicaţiilor sau sistemul de operare propriu-zis.

SourceDNA afirmă că a scanat toate aplicaţiile gratuite lansate sau actualizate între 27 ianuarie şi 20 aprilie precum şi cele mai populare 5000 de aplicaţii plătite care au fost modificate în aceeaşi perioadă de timp. Compania de descoperit că 1500 dintre aceste aplicaţii sunt vulnerabile deoarece folosesc AFNetworking 2.5.1, însă, mai grav, a remarcat că numărul acestor produse software problematice a crescut în prima parte a lunii aprilie, semn că unii dezvoltatori nu au luat deja cunoştinţă de existenţa acestei breşe şi nici nu au actualizat biblioteca de funcţii AFNetworking la versiunea corectat 2.5.2.

Din motive de securitate, SourceDNA nu a publicat o listă completă a aplicaţiilor vulnerabile. Cei care folosesc însă aplicaţii care manevrează date critice, cum ar fi de pildă cele bancare, pot verifica starea acestor produse software prin căutarea lor după numele companiilor care le-au publicat în App Store la această adresă.