Microsoft ve Yahoo gibi büyük geliştiriciler tarafından iOS uygulamaları Binlerce SSL etkileyen bir böcek tarafından ihlal edilmiş (Güvenli Yuva Katmanı) AFNetworking kod. AFNetworking programcılar iOS uygulamaları için bileşenler oluşturmak için kullanabileceğiniz bir ağ kütüphanesidir. Araştırmacılar çerçevesi son altı hafta boyunca üç kez güncellendi kalktığını bildirdi. sık güncellemeler man-in-the-middle saldırılarından olabilir SSL güvenlik özellikle amaçlı olduğunu.
Etkilenen uygulamaların sayısı olarak tahmin ediliyor 25,000.
Bir sunucu sertifikası ile herhangi bir ceza zihni uygulamaların zayıflığından yararlanabilir, ve şifrelenmiş trafik görüntülemek, güvenlik raporu konuda diyor. Araştırmacılar ayrıca unutmayın herhangi geçerli bir SSL sertifika verilerin şifresini çözmek için kullanılabilir.
MitM saldırılar genellikle üçüncü taraf saldırı habersiz iki site arasındaki iletişimi değiştirme seçeneği istismar. MitM saldırıların mükemmel bir örnek sözde gizli dinleme olduğunu.
bunlara ek olarak, Bir saldırı yerde ortaya çıkmış olabilir, Hatta Internet bağlantısı sağlayan halka açık yerlerde, Sadece alan adı kontrol edilmemesi nedeniyle.
SSL kusur uluslu şirket Yelp dan Ivan Leichtling tarafından keşfedildi.
işin tuhafı, AFNetworking güvenlik ekibi zaten önceden de bir SSL tarafından oluşturulan hata amaçlı olarak serbest bırakılması için güvenlik açığının ele etmişti, ama nedense düzeltme dışarı bırakıldı.
düzeltme, kendisi SSL sertifika doğrulama yokluğu ile ilgili olarak oldu. ikincisi kendinden terfi sertifika ile herhangi saldırgana şifreli trafiği ile müdahale şansı verir.
Araştırmacılar daha sonra yama başlatıldıktan sonra geliştiricilerin iyi bir anlaşma ürünlerini güncellenen olmasaydı öğrendim. Böylece, iOS uygulamaları binlerce kullanıcıları saldırılara maruz kaldı.
Geliştiriciler kısa sürede yeni AFNetworking entegre etmeleri önerilir, böylece alan adı doğrulama varsayılan olarak aktif hale.