Bir güvenlik araştırmacısı Apple'ın mobil cihazları için onlarca uygulama WiFi snooper'a karşı savunmasız kaldığını bildirdi.
Sudo Güvenlik Grubu CEO'su Will Strafach, bağlantıların şifreleme ile korunması gerektiği halde Apple'ın App Store'da bulunan kablosuz popüler dinleyiciler için savunmasız 76 popüler iOS uygulaması tespit etti.
Zavallı uygulamaların 18 milyon indirilmesi olduğunu söyledi.
Strafach, savunmasız uygulamaların 33'ünü "düşük risk" olarak sınıflandırdı. Potansiyel olarak ele geçirilen bilgiler arasında, bir cihazla ilgili kısmen hassas analitik veriler ve bir e-posta adresi veya giriş kimlik bilgileri gibi kısmen duyarlı kişisel veriler bulunur.
Snapchat, Volify, Loops Live, Private Browser, Aman Bank, FirstBank, VPN One Click Professional ve AutoLotto için VivaVideo, Snap Upload: Powerball, MegaMillions Lottery Biletleri, düşük riskli kategoriye atadığı bazı uygulamalar.
Daha Riskli Uygulamalar
Strafach, 24 tane daha iOS uygulaması "orta risk" olarak sınıflandırdı. Potansiyel olarak engellenen bilgiler, ağa giriş yapan kullanıcılar için hizmet oturum açma kimlik bilgileri ve oturum kimlik doğrulama belirteçlerini içerir.
Strafach kalan uygulamaları "yüksek risk" olarak nitelendirdi, çünkü potansiyel olarak ele geçirilen bilgiler finansal veya tıbbi hizmet giriş kimlik bilgilerini yakalamaktı.
Orta ve yüksek riskli uygulamaları, yapımcılarına uygulamalardaki güvenlik açığındaki değişiklikleri düzeltme zamanı vermeleri için isimle tanımlamadı.
Kullanıcılar, bu uygulamaları kullanırken güvenlik konusunda ne gibi kaygılarda bulunmalıdır?
Strafach, TechNewsWorld'e "Endişe düzeyiyle ilgili herhangi bir şeyi göz ardı etmeye çalıştım, çünkü insanları fazla incitmek istemiyorum" dedi.
"Bu gerçekten de benim için büyük bir endişe olsa da, kamuoyunda banka bakiyelerini kontrol etmek gibi hassas eylemler gerçekleştirmek için WiFi'yi kapatarak ve hücresel bir bağlantı kurarak daha da hafifletilebilir" dedi.
Orta Saldırıda Adam
Herhangi bir şey olursa, Strafach sorunu abartıyor, Proofpoint'teki mobil güvenlik ürünlerinin başkan yardımcısı Dave Jevans'ı sürdürüyor .
TechNewsWorld'e "Milyonlarca uygulama inceledik ve bunun yaygın bir sorun olduğunu tespit etti" ve "sadece iOS değil, aynı zamanda Android" dedi.
Yine de, büyük olasılıkla Seth Hardy, güvenlik araştırma direktörü göre, henüz büyük bir alarm için bir neden değildir Appthority .
"Bu endişe edilecek bir şey ama onu aktif olarak vahşi olarak görmedik" diye TechNewsWorld'a konuştu.
Güvenlik açığı klasik bir adam-içi saldırıya izin vermektir. Hedef telefona gelen veriler, hedefine ulaşmadan engellenir. Ardından şifre çözülür, depolanır, yeniden şifrelenir ve daha sonra kullanıcının bilgisine dokunmadan hedefine gönderilir.
Bunu yapmak için bir uygulamanın, bir varış noktasına değil, bir varış noktası ile iletişim kurduğuna karar vermek için kandırılması gerekir.
"Ortaokulda bir saldırının başarılı olması için, saldırganın uygulama tarafından güvenilir bir dijital sertifika ya da uygulama güven ilişkisini denetlemediğini" belirtti. Mühendislikten Sorumlu Başkan Yardımcısı Slawek Ligier, Barracuda Networks'te güvenlik için .
TechNewsWorld "Bu durumda, geliştiricilerin herhangi bir sertifikanın kabul edilmesine izin verecek şekilde uygulamalar geliştirdiğini görüyor" dedi. "Sertifika çıkarılırsa ve süresi dolmamışsa kabul ediyorlar, iptal edilip edilmediğini kontrol etmiyor ya da düzgün şekilde imzalanmış olsa bile."
Geliştiricinin Sorunu
Apple, bu savunmasız uygulamaları duvarlı bahçesinin arkasından temizlemek için harekete geçmeli mi?
Arctic Wolf güvenlik mühendisliği sorumlusu Sam McLane, "Apple kesinlikle rahatsız olan herhangi bir uygulamayı App Store'dan kaldırmalıdır" dedi .
TechNewsWorld'a "Güven modelinin Apple ekosisteminin insanlar için güvenli olmasıyla başladığı için bu, nispeten test edilmesi kolay ve Apple tarafından uygulanması gereken bir şey" dedi.
Strafach buna katılmadı. "Kurulum şu anda ağ kodunun geliştirici kontrolü ile ilgili olmalıdır" dedi. "Geliştiriciler bu soruyla ilgili bir şeyler yapabilir, etkilenen uygulamalar için bu düzeltme sadece birkaç satırlık bir işlemdir - eğer bir şey varsa, etkilenen kodda sorunu düzeltmek için bir saatten az sürer."
Lazy Coders
Apple bu uygulama güvenlik açığını ele almaya kalkarsa, AdaptiveMobile'ın baş strateji sorumlusu Simeon Coney'ye belirttiği üzere, özellikle kurumsal uygulamalar geliştiren uygulamalar için başım ağrısı yaratabilir .
TechNewsWorld'e "Bir çok uygulama geliştiricisi, genel bir sertifika bulunmayacak kurumsal uygulamalar gibi şeyleri yapmak için mevcut davranışlara güveniyor", bu yüzden sorumluluk, uygulamanın geliştiricileri ile birlikte, uygulamalarının paketlenmediğinden emin olmaktır. Bu risk. "
Apple, geliştiricileri sertifikalara tam olarak güvenmeye zorlamak istemiyor, diye ekledi Ligier. "Bu, özellikle iç uygulamalar olmak üzere birçok şeyi kıracak ve bir sürü mutsuz kullanıcı üretebilecek" dedi.
Bununla birlikte, geliştiriciler, üçüncü parti sertifikaların körü körüne kabul edilmesine izin veren uygulamaları serbest bırakmamaları gerektiğini savundu McLane.
"Bu, tamamen çare bulmak için elinde" dedi. "Kolaylıkla test edildi ve tembellikten biri, üretim seviyesi kodunda bu ciddi güvenlik açıklarına sahip bir uygulamayı gönderdi."
Yorum Yap:
0 Yorum: