Duizenden iOS applicaties door grote ontwikkelaars, zoals Microsoft en Yahoo zijn aangetast door een bug die SSL invloed (Secure Sockets Layer) code AFNetworking. AFNetworking is een netwerk bibliotheek die programmeurs gebruiken om onderdelen voor iOS applicaties te bouwen. Onderzoekers hebben gemeld dat het kader is drie keer is bijgewerkt in de laatste zes weken. De frequente updates waren vooral gericht op het SSL kwetsbaarheden die kunnen worden benut in man-in-the-middle-aanvallen.
Het aantal getroffen toepassingen wordt geschat op 25,000.
Elke criminele geest met een server certificaat kan profiteren van de zwakte van de aanvragen te nemen, en te bekijken versleuteld verkeer, zegt security verslag over de zaak. De onderzoekers merken ook op dat elk geldig SSL certificaat kan worden gebruikt om gegevens te decoderen.
MitM aanvallen exploiteren vaak de mogelijkheid om de communicatie te veranderen tussen de twee sites niet op de hoogte van de third-party inbraak. Een perfect voorbeeld van MitM aanvallen is de zogenaamde afluisteren.
Daarnaast, een aanval had kunnen overal geactiveerd, zelfs in openbare plaatsen die internettoegang bieden, alleen omdat de domeinnaam is niet aangevinkt.
De SSL-lek werd ontdekt door Ivan Leichtling van de multinational Yelp.
Vreemd genoeg, AFNetworking security team had al beziggehouden met de kwetsbaarheid voorafgaand aan de release die ook was gericht op een SSL-gegenereerde bug, maar een of andere manier de fix was weggelaten.
De correctie zelf was in verband met de afwezigheid van SSL-certificaat validatie. Laatstgenoemde verleent elke aanvaller met een zelf-bevorderde het certificaat van de kans om te onderscheppen met versleutelde verkeer.
Onderzoekers later bleek dat een groot deel van de ontwikkelaars hun producten niet had bijgewerkt nadat de patch werd ingeleid. Dus, de gebruikers van duizenden iOS applicaties bleef blootgesteld aan aanvallen.
Ontwikkelaars worden geadviseerd om de nieuwe AFNetworking zo snel mogelijk te integreren, zodat domeinnaam validatie is standaard geactiveerd.