Tusindvis af iOS applikationer ved store udviklere som Microsoft og Yahoo er blevet kompromitteret af en fejl, der påvirker SSL (Secure Sockets Layer) kode i AFNetworking. AFNetworking er en networking-bibliotek, som programmører bruger til at bygge komponenter til iOS applikationer. Forskere har rapporteret, at rammerne er blevet opdateret tre gange i løbet af de sidste seks uger. De hyppige opdateringer var især rettet mod SSL sårbarheder, der kan udnyttes i mennesket-i-the-middle-angreb.
Antallet af berørte applikationer anslås til 25,000.
Enhver kriminel sind med en server certifikat kan drage fordel af de programmer svaghed, og se krypteret trafik, siger sikkerhed rapport om sagen. Forskere også bemærke, at enhver gyldig SSL certifikat kan bruges til at dekryptere data,.
MITM angreb udnytter ofte mulighed for at ændre kommunikationen mellem to steder uvidende om den tredjepart indtrængen. Et perfekt eksempel på MITM angreb er den såkaldte aflytning.
Derudover, et angreb kunne have været udløst overalt, selv på offentlige steder, der giver internetforbindelse, bare fordi domænenavnet blev ikke tjekket.
SSL fejl blev opdaget af Ivan Leichtling fra multinationale selskab Yelp.
Mærkeligt nok, AFNetworking sikkerhed holdet havde allerede behandlet sårbarheden forud for frigivelsen, der også var rettet mod en SSL-genereret fejl, men på en måde rettelsen blev udeladt.
Rettelsen selv var i forbindelse med et fravær af SSL-certifikat validering. Sidstnævnte giver enhver angriber med en selv-fremmet certifikat mulighed for at opfange med krypteret trafik.
Forskere fandt senere ud af, at en god del af udviklerne ikke havde opdateret deres produkter efter plasteret blev indledt. Således, brugerne af tusindvis af iOS applikationer forblev udsat for angreb.
Udviklere rådes til at integrere nye AFNetworking så hurtigt som muligt, så domænenavn validering er som standard aktiveret.