25,000 iOS Apps esposta agli attacchi da Bug SSL in AFNetworking

25,000 iOS Apps esposta agli attacchi da Bug SSL in AFNetworking

Migliaia di applicazioni iOS da importanti sviluppatori come Microsoft e Yahoo sono stati compromessi da un bug che colpisce SSL (Secure Sockets Layer) codice AFNetworking. AFNetworking è una libreria di rete che i programmatori usano per costruire componenti per applicazioni iOS. I ricercatori hanno riferito che il quadro è stato aggiornato tre volte durante le ultime sei settimane. Gli aggiornamenti frequenti sono state finalizzate in particolare a vulnerabilità SSL che possono essere sfruttate in attacchi man-in-the-middle.

Il numero di applicazioni interessate è stimato a 25,000.

Qualsiasi mente criminale con un certificato server può approfittare della debolezza delle applicazioni, e visualizzare il traffico criptato, Secondo una relazione di sicurezza in materia. I ricercatori hanno anche notare che qualsiasi SSL valido certificato può essere utilizzato per decifrare i dati.

attacchi MITM spesso sfruttano la possibilità di modificare le comunicazioni tra i due siti ignari delle intrusioni di terze parti. Un perfetto esempio di attacchi MITM è il cosiddetto intercettazioni.

Inoltre, un attacco potrebbe essere stato innescato da nessuna parte, anche in luoghi pubblici che offrono connessione a Internet, solo perché il nome di dominio non è stata controllata.

La falla SSL è stato scoperto da Ivan Leichtling dalla multinazionale Yelp.

Abbastanza curiosamente, AFNetworking team di sicurezza aveva già affrontato la vulnerabilità prima del rilascio che è stato rivolto anche ad un bug SSL-generated, ma in qualche modo la correzione è stato lasciato fuori.

La correzione era per quanto riguarda l'assenza di convalida del certificato SSL. Quest'ultimo concede qualsiasi attaccante con un certificato auto-promosso la possibilità di intercettare con traffico criptato.

I ricercatori hanno poi scoperto che una buona dose di sviluppatori non aveva aggiornato i loro prodotti dopo la patch è stata avviata. Quindi, gli utenti di migliaia di applicazioni iOS sono rimasti esposti ad attacchi.

Gli sviluppatori sono invitati a integrare il nuovo AFNetworking il più presto possibile, in modo che la convalida nome di dominio è attivata di default.

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Time limit is exhausted. Please reload the CAPTCHA.