ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

25 тыс. iOS-приложений уязвимы к MitM-атакам из-за второй бреши в AFNetworking

MitM-атаки

Уязвимость позволяет атакующему перехватывать персональные данные или SSL-соединения.

Спустя несколько недель после раскрытия позволявшей осуществить атаку "человек посередине" бреши в популярной библиотеке AFNetworking, специалисты SourceDNA обнаружили вторую подобную уязвимость. Брешь затрагивает порядка 25 тыс. iOS-приложений.

Новая проблема, выявленная спустя всего сутки после исправления первой, связана с процессом проверки подлинности цифровых сертификатов. Как оказалось, в AFNetworking установлен флаг, по умолчанию отключающий доменную верификацию. Это значит, что уязвимое приложение без проблем примет любой валидный сертификат, используемый злоумышленником.

По словам экспертов, брешь содержится в той же части кода, что и предыдущая. Уязвимость позволяет атакующему перехватывать персональные данные или SSL-соединения. Поскольку доменное имя не проверяется, все, что нужно злоумышленнику для осуществления атаки – подлинный SSL-сертификат любого web-сервера, который можно купить всего за $50.

"Мы были удивлены, увидев эту уязвимость в версии 2.5.2., и удивились вдвойне, когда поняли, что эта проблема уже была исправлена спустя день после устранения предыдущей бреши. Похоже, никто так и не заметил, что исправление не включили в версию 2.5.2", – отметили специалисты в своем блоге.

Данная уязвимость уже устранена в версии AFNetworking 2.5.3.


Security Lab (28.04.2015 в 11:07) | вверх страницы | к списку новостей

Общие вопросы:

Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2015 ООО "Ди Эй Кей продакшн"