Computadores em Foco - Guia de Segurança On-line

03:43 sou
31 Outubro 2024

25,000 iOS Apps expostos aos ataques por Bug SSL em AFNetworking

25,000 iOS Apps expostos aos ataques por Bug SSL em AFNetworking

Milhares de aplicativos iOS por grandes desenvolvedores como Microsoft e Yahoo foram comprometidos por um bug que afeta SSL (Secure Sockets Layer) código na AFNetworking. AFNetworking é uma biblioteca de rede que programadores usam para construir componentes para aplicações iOS. Os pesquisadores relataram que o quadro foi atualizado três vezes durante as últimas seis semanas. As atualizações freqüentes foram especialmente vocacionada para vulnerabilidades SSL que podem ser exploradas em ataques man-in-the-middle.

O número de aplicações afectadas é estimado em 25,000.

Qualquer mente criminosa com um certificado de servidor pode tirar vantagem da fraqueza dos aplicativos, e visualizar o tráfego criptografado, diz relatório de segurança sobre o assunto. Os pesquisadores também notar que qualquer SSL válido certificado pode ser utilizada para desencriptar os dados.

ataques MITM muitas vezes explorar a opção de alterar as comunicações entre dois locais desconhecem a intrusão de terceiros. Um exemplo perfeito de ataques MITM é a chamada espionagem.

Além disso, um ataque poderia ter sido acionado em qualquer lugar, mesmo em locais públicos que oferecem conexão à Internet, só porque o nome de domínio não foi verificada.

A falha SSL foi descoberto por Ivan Leichtling da multinacional Yelp.

Suficientemente curioso, AFNetworking equipe de segurança já tinha lidado com a vulnerabilidade antes do lançamento, que também foi dirigido a um erro gerado pelo SSL, mas de alguma forma a correção foi deixado de fora.

A correção em si foi em relação a uma ausência de validação do certificado SSL. O último concede qualquer atacante com um certificado auto-promoveu a chance de interceptar com tráfego criptografado.

Os pesquisadores mais tarde descobriu que uma boa dose de desenvolvedores não tinham actualizado os seus produtos após o patch foi iniciado. Assim, os usuários de milhares de aplicativos iOS permaneceu exposto a ataques.

Os desenvolvedores são aconselhados a integrar o novo AFNetworking o mais rápido possível, de modo que a validação de nome de domínio é ativado por padrão.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios são marcados *

Time limit is exhausted. Please reload the CAPTCHA.