Milhares de aplicativos iOS por grandes desenvolvedores como Microsoft e Yahoo foram comprometidos por um bug que afeta SSL (Secure Sockets Layer) código na AFNetworking. AFNetworking é uma biblioteca de rede que programadores usam para construir componentes para aplicações iOS. Os pesquisadores relataram que o quadro foi atualizado três vezes durante as últimas seis semanas. As atualizações freqüentes foram especialmente vocacionada para vulnerabilidades SSL que podem ser exploradas em ataques man-in-the-middle.
O número de aplicações afectadas é estimado em 25,000.
Qualquer mente criminosa com um certificado de servidor pode tirar vantagem da fraqueza dos aplicativos, e visualizar o tráfego criptografado, diz relatório de segurança sobre o assunto. Os pesquisadores também notar que qualquer SSL válido certificado pode ser utilizada para desencriptar os dados.
ataques MITM muitas vezes explorar a opção de alterar as comunicações entre dois locais desconhecem a intrusão de terceiros. Um exemplo perfeito de ataques MITM é a chamada espionagem.
Além disso, um ataque poderia ter sido acionado em qualquer lugar, mesmo em locais públicos que oferecem conexão à Internet, só porque o nome de domínio não foi verificada.
A falha SSL foi descoberto por Ivan Leichtling da multinacional Yelp.
Suficientemente curioso, AFNetworking equipe de segurança já tinha lidado com a vulnerabilidade antes do lançamento, que também foi dirigido a um erro gerado pelo SSL, mas de alguma forma a correção foi deixado de fora.
A correção em si foi em relação a uma ausência de validação do certificado SSL. O último concede qualquer atacante com um certificado auto-promoveu a chance de interceptar com tráfego criptografado.
Os pesquisadores mais tarde descobriu que uma boa dose de desenvolvedores não tinham actualizado os seus produtos após o patch foi iniciado. Assim, os usuários de milhares de aplicativos iOS permaneceu exposto a ataques.
Os desenvolvedores são aconselhados a integrar o novo AFNetworking o mais rápido possível, de modo que a validação de nome de domínio é ativado por padrão.