1500 приложений под угрозой взлома

Полторы тысячи приложений в iOS App Store уязвимы к хакерским атакам типа «человек посередине» — это интернет-атаки, при которых злоумышленник перехватывает канал связи, получая полный доступ к передаваемой информации. Виной этому баг безопасного подключения к серверам. Каждый, кто перехватывает информацию с iPhone или iPad, получает доступ к логинам, паролям и другой персональной информации, пересылаемой через протокол HTTPS.

Баг обнаружила компания SourceDNA. В ее отчете говорится, что дефекты кода есть приложениях Yahoo, Uber, Microsoft и Citrix. Таким образом, под угрозой оказались миллионы пользователей.

Атаки типа «человек посередине» позволяют фиктивной Wi-Fi точке перехватывать информацию с подключенных к ней устройств. Обычно такие взломы исключены, так как у таких точек нет сертификатов безопасности, но из-за бага приложения просто не проверяют его наличие.

Изначально баг появился в открытом коде AFNetworking, который используют для подключения к серверам тысячи приложений. Январская версия 2.5.1 содержала ошибку, из-за которой сертификаты безопасности точек не проверялись.

Исправленная версия кода 2.5.2 появилась три недели назад уже без этой ошибки. Однако исследование iOS App Store показало, что около 1500 приложений до сих пор пользуются старой версией кода.