Контакты
Подписка
МЕНЮ
Контакты
Подписка

Десятки iOS-приложений позволяют перехватывать данные пользователей

Десятки iOS-приложений позволяют перехватывать данные пользователей

Десятки iOS-приложений позволяют перехватывать данные пользователей


07.02.2017



Десятки iOS-приложений, шифрующих информацию пользователей, делают это ненадлежащим образом. Глава ИБ-компании Sudo Security Group Уилл Страфач (Will Strafach) обнаружил 76 приложений для iPhone и iPad, уязвимых к атакам, позволяющим перехватить данные.

По словам Страфача, из-за ошибок в связанном с передачей данных коде программы могут принимать недействительные сертификаты TLS. Протокол TLS используется для защиты информации, передаваемой приложением через интернет-соединение. Без него хакер может прослушивать трафик и перехватывать любые интересующие его данные, например, логины и пароли.

 "Подобные атаки может осуществить кто угодно, находящийся в зоне действия сети Wi-Fi, пока вы пользуетесь вашим устройством. Атаки возможны в общественных местах или даже у вас дома, если атакующему удастся подобраться достаточно близко", - пояснил эксперт.

 Страфач обнаружил проблему в 76 iOS-приложениях, просканировав их с помощью разработанного его компанией сервиса verify.ly. Исследователь протестировал уязвимые программы на iPhone, работающем под управлением iOS 10. Используя прокси-сервер, эксперт успешно внедрил в соединение недействительный сертификат TLS.

 По словам исследователя, 43 из 76 приложений представляют высокий и средний уровень риска, поскольку злоумышленник может перехватить передаваемые ими логины, пароли и токены. Остальные 33 программы несут меньшую угрозу, поскольку позволяют перехватывать лишь электронные адреса.

 В общей сложности 76 исследуемых приложений были загружены из магазина Apptopia 18 млн раз. Страфач не раскрывает названия программ, однако уже уведомил их создателей о проблеме.

Securitylab