Scanarea App Store pentru aplicații predispuse este o treabă mare, dar serviciul de verificare al lui Strafach a detectat că există 76 de aplicații populare în magazin care sunt în prezent predispuse la interceptarea datelor.
Descoperirea nu are legătură cu faptul că dezvoltatorii de magazine de aplicații profită de securitatea transportului de aplicații Apple, aplicațiile rămânând vulnerabile chiar și atunci când sunt complet conforme. În timp ce 76 de aplicații pot să nu pară foarte mult, având în vedere numărul de aplicații disponibile în prezent în App Store, aceste aplicații sunt foarte mult din varietatea populară, cu 18 milioane de descărcări cumulate. Este vorba despre o mulțime de oameni predispuși la inceptarea datelor.
Verificați.ly a rupt aplicațiile în trei categorii; Risc scăzut, mediu și ridicat, până la a numi unele dintre cele afectate. Acestea fiind spuse, 19 aplicații de risc mediu și 24 de riscuri medii nu au fost numite până acum, Strafach preferând să garanteze că toți dezvoltatorii implicați în acele aplicații au fost notificați înainte de timp. 33 de aplicații cu risc redus deja numite includ o mulțime de aplicații legate de Snapchat și includ Viavideo, Snap Publish pentru Snapchat și Uploader Filmy pentru Snapchat. Browserul Cheetah și Oovoo, printre altele, sunt furnizate și de Strafach.
„Funcția de siguranță a transportului de aplicații a iOS nu poate și nu poate ajuta la blocarea acestei vulnerabilitate să funcționeze”, potrivit Strafach. ATS, pe care Apple a introdus -o ca parte a iOS 9, a fost conceput pentru a îmbunătăți siguranța și confidențialitatea utilizatorilor, încurajând aplicațiile și dezvoltatorii lor să utilizeze HTTPS pentru transmiterea datelor.
Apple a stabilit o dată din 1 ianuarie 2017 pentru ca toate aplicațiile să aibă funcția configurată, dar această dată a luat în considerare că a scăzut. În acest moment, Apple nu folosește deloc o nouă dată. Din înțelegerea problemei noastre de astăzi, atacurile ar profita de codul de rețea configurat greșit care, la rândul său, poate determina siguranța transportului aplicației să creadă că conexiunile sunt conexiuni TLS legitime, chiar și atunci când nu sunt.
Nu există nicio soluție posibilă pe partea Apple, deoarece, dacă ar trece peste această funcționalitate în încercarea de a bloca această problemă de siguranță, ar face de fapt unele aplicații iOS mai puțin sigure, deoarece nu ar putea utiliza fixarea certificatului pentru conexiunile lor , și nu ar putea depinde de certificate de încredere, care pot fi necesare pentru conexiuni intranet într-o întreprindere folosind un PKI intern. Prin urmare, Onus se bazează doar pe dezvoltatorii de aplicații înșiși pentru a garanta că aplicațiile lor nu sunt vulnerabile.
Până la remedierea de la dezvoltatorii de aplicații, utilizatorii pot încerca să minimizeze riscul de a se încadra la injecția de date prin utilizarea unui VPN sau pur și simplu evitarea punctelor de acces WiFi publice – ambele bune practici de siguranță. Sau pur și simplu ștergeți aplicațiile până când se actualizează.
(Sursa: Will Strafach [mediu])
De asemenea, poate doriți să consultați:
iOS 10.3 Beta 2: modificări sau noi completări de caracteristici?
Descărcare: iOS 10.3 Beta 2 lansat cu funcția Find My AirPods și multe altele
Jailbreak iOS 10 / 10.2 / 10.1.1 pe iPhone 7, Plus, 6S, iPad Pro folosind YALU [actualizat]
Jailbreak iOS 10.2.1 / 10.3 pentru iPhone și iPad [Ultima actualizare a stării]
Ne puteți urmări pe Twitter, adăugați -ne în cercul dvs. pe Google+ sau ca pagina noastră de Facebook pentru a vă menține la curent cu toate curentul de la Microsoft, Google, Apple și Web.