Tusentals iOS ansökningar från stora utvecklare som Microsoft och Yahoo har äventyrats av en bugg som påverkar SSL (Secure Sockets Layer) kod i AFNetworking. AFNetworking är ett nätverksbibliotek som programmerare använder för att bygga komponenter för iOS applikationer. Forskare har rapporterat att ramverket har uppdaterats tre gånger under de senaste sex veckorna. De frekventa uppdateringar syftade särskilt på SSL sårbarheter som kan utnyttjas i man-in-the-middle-attacker.
Antalet drabbade applikationer beräknas till 25,000.
Alla kriminella sinne med ett servercertifikat kan dra nytta av ansökningarna svaghet, och visa krypterad trafik, säger säkerhets rapport i frågan. Forskarna noterar också att ett giltigt SSL certifikat kan användas för att dekryptera data.
MITM attacker utnyttjar ofta möjligheten att ändra kommunikationen mellan två platser omedvetna om tredjeparts intrång. Ett perfekt exempel på MITM attacker är den så kallade tjuvlyssning.
Dessutom, en attack kunde ha utlösts någonstans, även på offentliga platser som ger Internet-anslutning, bara för att domännamnet inte kontrollerats.
SSL fel upptäcktes av Ivan Leichtling från det multinationella företaget Yelp.
Märkligt nog, AFNetworking säkerhetsteam hade redan behandlat sårbarheten innan release som också syftade till en SSL-genererade bug, men på något sätt fixa lämnades ut.
Fix själv var med avseende på en avsaknad av SSL-certifikat validering. Den senare ger någon angripare med en själv främjas certifikat möjlighet att avlyssna med krypterad trafik.
Forskare senare fick reda på att en hel del utvecklare inte hade uppdaterat sina produkter efter att plåstret inleddes. Således, användarna av tusentals iOS applikationer förblev utsätts för attacker.
Utvecklare uppmanas att integrera nya AFNetworking så snart som möjligt, så att domännamn validering aktiveras som standard.