Des milliers d'applications iOS par les développeurs majeurs tels que Microsoft et Yahoo ont été compromis par un bug qui affecte SSL (Secure Sockets Layer) code AFNetworking. AFNetworking est une bibliothèque de réseau que les programmeurs utilisent pour construire des composants pour les applications iOS. Les chercheurs ont rapporté que le cadre a été mis à jour trois fois au cours des six dernières semaines. Les mises à jour fréquentes visent surtout les vulnérabilités SSL qui peuvent être exploitées dans des attaques man-in-the-middle.
Le nombre d'applications concernées est estimé à 25,000.
Tout esprit criminel avec un certificat de serveur peut profiter de la faiblesse des applications, et voir le trafic chiffré, Selon un rapport de sécurité sur la question. Les chercheurs notent également que tout SSL valide certificat peut être utilisé pour décrypter les données.
attaques MitM exploitent souvent la possibilité de modifier les communications entre les deux sites connaissent pas les intrusion d'un tiers. Un parfait exemple d'attaques MitM est l'écoute clandestine que l'on appelle.
aditionellement, une attaque aurait été déclenchée partout, même dans les lieux publics qui offrent une connexion Internet, juste parce que le nom de domaine n'a pas été vérifié.
La faille SSL a été découvert par Ivan Leichtling de la société multinationale Yelp.
Curieusement assez, équipe de sécurité AFNetworking avait déjà traité la vulnérabilité avant la libération qui a également été destiné à un bogue généré SSL, mais en quelque sorte le correctif a été omis.
Le correctif lui-même était en ce qui concerne l'absence de validation du certificat SSL. Ce dernier accorde à tout attaquant avec un certificat auto-promotion la possibilité d'intercepter le trafic crypté.
Les chercheurs ont constaté plus tard que beaucoup de développeurs ont mis à jour leurs produits ne après le patch a été lancé. Ainsi, les utilisateurs de milliers d'applications iOS exposées à des attaques étaient toujours.
Il est recommandé aux développeurs d'intégrer la nouvelle AFNetworking le plus tôt possible, de sorte que la validation du nom de domaine est activé par défaut.