Migliaia di applicazioni iOS da importanti sviluppatori come Microsoft e Yahoo sono stati compromessi da un bug che colpisce SSL (Secure Sockets Layer) codice AFNetworking. AFNetworking è una libreria di rete che i programmatori usano per costruire componenti per applicazioni iOS. I ricercatori hanno riferito che il quadro è stato aggiornato tre volte durante le ultime sei settimane. Gli aggiornamenti frequenti sono state finalizzate in particolare a vulnerabilità SSL che possono essere sfruttate in attacchi man-in-the-middle.
Il numero di applicazioni interessate è stimato a 25,000.
Qualsiasi mente criminale con un certificato server può approfittare della debolezza delle applicazioni, e visualizzare il traffico criptato, Secondo una relazione di sicurezza in materia. I ricercatori hanno anche notare che qualsiasi SSL valido certificato può essere utilizzato per decifrare i dati.
attacchi MITM spesso sfruttano la possibilità di modificare le comunicazioni tra i due siti ignari delle intrusioni di terze parti. Un perfetto esempio di attacchi MITM è il cosiddetto intercettazioni.
Inoltre, un attacco potrebbe essere stato innescato da nessuna parte, anche in luoghi pubblici che offrono connessione a Internet, solo perché il nome di dominio non è stata controllata.
La falla SSL è stato scoperto da Ivan Leichtling dalla multinazionale Yelp.
Abbastanza curiosamente, AFNetworking team di sicurezza aveva già affrontato la vulnerabilità prima del rilascio che è stato rivolto anche ad un bug SSL-generated, ma in qualche modo la correzione è stato lasciato fuori.
La correzione era per quanto riguarda l'assenza di convalida del certificato SSL. Quest'ultimo concede qualsiasi attaccante con un certificato auto-promosso la possibilità di intercettare con traffico criptato.
I ricercatori hanno poi scoperto che una buona dose di sviluppatori non aveva aggiornato i loro prodotti dopo la patch è stata avviata. Quindi, gli utenti di migliaia di applicazioni iOS sono rimasti esposti ad attacchi.
Gli sviluppatori sono invitati a integrare il nuovo AFNetworking il più presto possibile, in modo che la convalida nome di dominio è attivata di default.