Tausende von iOS-Anwendungen von großen Entwickler wie Microsoft und Yahoo wurden durch einen Fehler beeinträchtigt, die SSL beeinflusst (Secure Sockets Layer) Code in AFNetworking. AFNetworking ist ein Netzwerkbibliothek, die Programmierer verwenden Komponenten für iOS-Anwendungen zu erstellen. Forscher haben berichtet, dass der Rahmen dreimal in den letzten sechs Wochen aktualisiert wurde. Die häufigen Updates wurden insbesondere bei SSL-Schwachstellen abzielen, die in man-in-the-Middle-Angriffe ausgenutzt werden kann,.
Die Anzahl der betroffenen Anwendungen wird geschätzt auf 25,000.
Jeder krimineller Geist mit einem Server-Zertifikat kann die Vorteile der Schwäche Anwendungen nehmen, und sehen verschlüsselten Datenverkehr, sagt Sicherheitsbericht über die Angelegenheit. Die Forscher auch fest, dass jede gültige SSL Zertifikat kann verwendet werden, Daten zu entschlüsseln,.
MITM-Angriffe ausnutzen oft die Option Kommunikation keine Kenntnis von der Dritt Intrusion zwischen zwei Standorten zu ändern. Ein perfektes Beispiel für MITM-Angriffe ist die so genannte Abhör.
zusätzlich, ein Angriff ausgelöst worden sein könnte überall, auch an öffentlichen Orten, die Internetverbindung bieten, nur weil der Domain-Name nicht geprüft.
Der SSL-Fehler wurde von Ivan Leichtling aus dem multinationalen Konzern entdeckt Yelp.
Seltsam genug, AFNetworking Sicherheitsteam hatte bereits mit der Verwundbarkeit vor der Veröffentlichung behandelt, die auch bei einem SSL-generierte Fehler gerichtet war, aber irgendwie war das Update ausgelassen.
Das Update selbst war in Bezug auf ein Fehlen von SSL-Zertifikat-Validierung. Letztere gewähren einen Angreifer mit einem selbst gefördert Zertifikat der Möglichkeit, mit verschlüsseltem Datenverkehr abfangen.
Die Forscher fanden später heraus, dass ein großer Teil der Entwickler ihre Produkte nicht aktualisiert hatte, nachdem der Patch initiiert wurde. So, der Anwender von Tausenden von iOS-Anwendungen blieben Angriffe ausgesetzt.
Entwickler sollten den neuen AFNetworking so schnell wie möglich integrieren, so dass Domain-Name Validierung ist standardmäßig aktiviert.