Tusenvis av iOS-applikasjoner av store utviklere som Microsoft og Yahoo har blitt kompromittert av en feil som påvirker SSL (Secure Sockets Layer) kode i AFNetworking. AFNetworking er et nettverk bibliotek som programmerere bruke til å bygge komponenter for iOS-applikasjoner. Forskere har rapportert at rammen har blitt oppdatert tre ganger i løpet av de siste seks ukene. De hyppige oppdateringer ble rettet spesielt mot SSL sårbarheter som kan bli utnyttet i menneske-i-midten-angrep.
Antall berørte programmene er beregnet til 25,000.
Enhver kriminelle sinn med et serversertifikat kan dra nytte av programmenes svakhet, og vis kryptert trafikk, sier sikkerhetsrapport om saken. Forskere også oppmerksom på at noen gyldig SSL sertifikat kan anvendes for å dekryptere data.
MITM angrep ofte utnytte muligheten til å endre kommunikasjonen mellom to områder uvitende om tredjeparts inntrenging. Et perfekt eksempel på MITM angrep er den såkalte avlytting.
Dess, et angrep kan ha blitt utløst hvor som helst, selv på offentlige steder som tilbyr Internett-tilkobling, bare fordi domenenavnet ble ikke kontrollert.
SSL Feilen ble oppdaget av Ivan Leichtling fra multinasjonale selskap Yelp.
merkelig nok, AFNetworking sikkerhetsteam hadde allerede jobbet med sårbarhet før utgivelsen som også var rettet mot en SSL-generert bug, men en måte reparasjonen ble utelatt.
Reparasjonen selv var i forbindelse med et fravær av SSL-sertifikatvalidering. Sistnevnte gir et hvilket som helst angriper med en selv-promo sertifikat mulighet til å avskjære med krypterte trafikk.
Forskere fant senere ut at en god del av utviklerne ikke hadde oppdatert sine produkter etter at oppdateringen ble initiert. Dermed, brukerne av tusenvis av iOS-applikasjoner forble utsatt for angrep.
Utviklere rådes til å integrere den nye AFNetworking så snart som mulig, slik at domenenavnet validering er aktivert som standard.