Блог Смартфоны Apple

Десятки популярных iOS-приложений по-прежнему уязвимы для перехвата данных пользователей

adminGWP
8 Май 2017
Комментарии к записи Десятки популярных iOS-приложений по-прежнему уязвимы для перехвата данных пользователей отключены

В фeврaлe этoгo гoдa спeциaлист пo инфoрмaциoннoй бeзoпaснoсти Sudo Security Group Уилл Стрaфaк обнаружил, что некоторые популярные iOS-приложения, шифрующие информацию пользователей, делают это ненадлежащим образом. Речь шла о 76 приложениях для iPhone и iPad, уязвимых к атакам, позволяющим перехватывать данные. Оказалось, что спустя три месяца большая часть уязвимых приложения, включая мобильный банкинг, так и не избавилась от брешей безопасности.

Страфак пояснил, что несколько десятков приложений, включая банковские и медицинские, содержат опасную уязвимость. Из-за ошибок в связанном с передачей данных коде программы могут принимать недействительные сертификаты TLS. Протокол TLS используется для защиты информации, передаваемой приложением через интернет-соединение. Без него хакер может прослушивать трафик и без ведома пользователя перехватывать любые интересующие его данные, например, логины и пароли.

Логично предположить, что после такого открытия разработчики возьмутся за исправление бага. Некоторые из них действительно приняли меры, к примеру, HipChat и Foxit. Однако большинство так и не избавились от указанной уязвимости.

Большинство же приложений, хранящих важную личную информацию, по-прежнему подвержены взлому. В их числе банковские клиенты Emirates NBD, 21st Century Insurance, Think Mutual Bank и Space Coast Credit Union. В числе уязвимых указаны также веб-браузер Dolphin, приложение для диабетиков Diabetes in Check, а также программа, позволяющая жителем Индианы участвовать в голосовании.

«Подобные атаки может осуществить кто угодно, находящийся в зоне действия беспроводной сети Wi-Fi, пока вы пользуетесь вашим устройством. Атаки возможны в общественных местах или даже у вас дома, если атакующему удастся подобраться достаточно близко», – рассказал Страфак.

Пока нет подтверждения, что хакеры используют личные данные пользователей, хотя это вряд ли оправдывает бездействие разработчиков. В общей сложности, по данным эксперта, 76 исследуемых приложений были загружены 18 млн раз.   Пользователям уязвимых программ Страфак рекомендует избегать публичных сетей Wi-Fi и пользоваться только мобильным интернетом.

]]>

Комментарии закрыты.