Десятки iOS-приложений по-прежнему содержат серьёзные уязвимости

В феврале компания Sudo Security Group (SSG) провела исследование тысяч iOS-приложений на предмет выявления уязвимостей. Исполнительный директор SSG Уилл Страфак тогда заявил, что в ходе тестирования было обнаружено 76 программ для iPhone и iPad, которые позволяют хакерам перехватывать пользовательские данные при помощи атак типа «человек посередине». Проблема заключалась в том, что код этих программ был написан ненадлежащим образом и при передаче данных они могут принимать недействительные сертификаты TLS.

Протокол TLS используется для защиты информации, передаваемой приложением через интернет-соединение. Без него хакер может прослушивать трафик и без ведома пользователя перехватывать любые интересующие его данные, например, логины и пароли. Общественность наверняка вправе ожидать, что спустя

Спустя три месяца после обнаружения уязвимостей разработчики так их и не закрыли. Страфак в своём блоге написал, что меры по устранению проблем с кодом своих приложений приняло только несколько из них, в их числе оказались создатели приложений HipChat и Foxit PDF. Большинство других разработчиков не отреагировало на предупреждение SSG. В их числе банковские клиенты Emirates NBD, 21st Century Insurance, Think Mutual Bank и Space Coast Credit Union. В числе уязвимых указаны также браузер Dolphin, приложение для диабетиков Diabetes in Check, а также программа, позволяющая жителем Индианы участвовать в голосовании.

«Подобные атаки может осуществить кто угодно, находящийся в зоне действия беспроводной сети Wi-Fi, пока вы пользуетесь вашим устройством. Атаки возможны в общественных местах или даже у вас дома, если атакующему удастся подобраться достаточно близко», — рассказал Страфак. Общее количество загрузок уязвимых iOS-приложений, по данным SSG, составляет 18 млн., но подтверждений, что хакеры используют личные данные пользователей, пока нет.

«Apple не может закрыть уязвимость в транспортном протоколе, поскольку из-за этого некоторые iOS-приложения не смогут получать сертификаты для собственных соединений. Также невозможно будет проверить действительность сторонних сертификатов, необходимых для интранет-соединений внутри корпоративных сетей», — рассуждает Страфак.

Таким образом, ответственность за устранение уязвимостей в приложении лежит исключительно на его разработчике. Страфак советует разработчикам быть внимательными при изменении поведения приложений или использовании сетевого кода. Учитывая, что хакеры могут воспользоваться уязвимостью преимущественно в Wi-Fi сетях, конечным пользователям, работающим с важными личными данными в приложениях, стоит отключить Wi-Fi в настройках iPhone или iPad перед использованием приложения с уязвимостью. В сотовой сети украсть личные данные значительно сложнее.