×
76 популярных приложений в App Store уязвимы для перехвата данных

Просканировав приложения в iOS App Store через двоичные коды, служба Уилла Страфача verify.ly обнаружила, что на данный момент 76 популярных приложений в магазине уязвимы для перехвата данных, пишет 9to5mac. Перехват возможен независимо от того, используют разработчики App Store функцию App Transport Security или нет. Несколько месяцев назад подобные уязвимости были обнаружены для приложений Experian и myFICO Mobile.

 

Служба Страфача сканирует приложения в iOS App Store на наличие уязвимостей, чтобы помочь разработчикам понять, как укрепить и защитить свой код. Сканы ищут закономерности в уязвимостях, а в худшем случае находят их повторно во многих приложениях. Сегодняшнее уведомление пугает не только потому, что приложения часто используются, но и потому, что уязвимые приложения были загружены более 18 млн раз.

 

В отчете Страфач рассортировал 76 приложений по категориям низкого, среднего и высокого риска. "Функция iOS App Transport Security не может и не помогает заблокировать эту уязвимость", - утверждает Страфач. Автоматическая испытательная система в iOS 9 была предназначена для улучшения безопасности и конфиденциальности пользователя, заставляя приложения использовать HTTPS. Apple изначально планировала встроить эту функцию для всех приложений с 1 января 2017 года, но потом снова отодвинула решение на неопределенный срок. Проблема заключается в неправильной конфигурации сетевого кода, в результате чего App Transport Security принимает подключения за допустимые соединения TLS, даже если они таковыми не являются.

 

У Apple нет никакой возможности это исправить, потому как если бы компания отменила функцию в попытке заблокировать эту проблему безопасности, это сделало бы некоторые приложения iOS более уязвимыми, поскольку они не смогли бы использовать прикрепление сертификата для подключения или доверять достоверным сертификатам, которые могут потребоваться для подключения к корпоративной сети внутри предприятия с помощью внутренней инфраструктуры открытых ключей. Таким образом, ответственность лежит исключительно на самих разработчиках приложений, которые должны гарантировать неуязвимость своих приложений.