1000 εφαρμογές του App store με σοβαρό κενό ασφαλείας!

Μεγάλο κενό ασφαλείας επηρεάζει περίπου 1000 iOS εφαρμογές του App store καθιστώντας τες ευάλωτες σε κακόβουλες επιθέσεις, σύμφωνα με πρόσφατη έκθεση της SourceDNA.

Το κενό ασφαλείας εντοπίστηκε πριν περίπου 1 μήνα και διορθώθηκε με αναβάθμιση σε συγκεκριμένο open source library που χρησιμοποιεί πολύ μεγάλη μερίδα των developers, ωστόσο όπως φαίνεται υπάρχουν περίπου 1000 apps που παραμένουν ευάλωτα.

AFNetworking recently had a major security flaw. Due to lack of SSL cert validation, the proverbial coffee shop attacker could easily bypass SSL and see all your app’s user credentials and banking data. We decided to track down apps that were still using the vulnerable version of AFNetworking and notify their developers so they could patch the flaw.

First, we had to determine the vulnerability window. We found the AFNetworking flaw was present in the Github repo from January 24 through March 25. More importantly, it had been released as version 2.5.1on February 12 before being fixed in version 2.5.2. Any developer who updated their app during that window could have integrated the vulnerable library.

We then uploaded three versions of AFNetworking: before, during, and after the flaw. SourceDNA created a differential fingerprint from them to find the vulnerable code. Think of this as a set of unique characteristics that were present or absent only in the targeted version and not any others before or after it. With this set of signatures, our analysis engine would tell us exactly which version of AFNetworking was in use in each app.

We currently track AFNetworking, along with about 1,500 other commercial and open-source SDKs. This includes code written in Java, Objective-C, Swift, C/C++, C#, Lua, and JavaScript for libraries that provide analytics, game engines, ads, payments, and every other service. This data helps platform vendors track their market share versus competitors and plan their product roadmap.

The day the flaw was announced & patched, a quick search in SourceDNA showed about 20,000 iOS apps (out of the 100k apps that use AFNetworking) both contained the AFNetworking library and were updated or released on the App Store after the flawed code was committed. Our system then scanned those apps with the differential signatures to see which ones actually had the vulnerable code.

The results? 55% had the older but safe 2.5.0 code, 40% were not using the portion of the library that provides the SSL API, and 5% or about 1,000 apps had the flaw.

Are these apps important? We compared them against our rank data and found some big players: Yahoo!, Microsoft, Uber, Citrix, etc. It amazes us that an open-source library that introduced a security flaw for only 6 weeks exposed millions of users to attack.

Στο link που ακολουθεί μπορείτε να ψάξετε τις εφαρμογές που έχετε εγκατεστημένες και να ενημερωθείτε για το αν κάποια από αυτές διαθέτει το εν λόγω κενό ασφαλείας: searchlight.sourcedna.com

Σχολιασμός στο forum

Posted By

Ananiadis Vasilis

Ο ζωντανός θρύλος της Ελληνικής blogόσφαιρας, ο αβυσσαλέος master του SEO, o πρίγκηπας των Social Media, ο τυφώνας των Web Startups, ο οργασμός της ιντερνετικής επιτυχίας.

More from Apps

23.3K

Η εφαρμογή του Netflix για iPhone / iPad σταμάτησε να υποστηρίζει το AirPlay

Posted On 08/04/2019

Ananiadis Vasilis 1

Η εφαρμογή του Netflix για iPhone / iPad σταμάτησε να υποστηρίζει το AirPlay.... μετά από 6 χρόνια απροβλημάτιστης λειτουργίας. Σύμφωνα με το Netflix, η παύση της υποστήριξης της λειτουργίας AirPlay στα iPhone, iPad και iPod touch οφείλεται σε "τεχνικούς περιορισμούς". Μετά …

16.1K

Πώς να ενεργοποιήσετε το Dark Mode στο Facebook Messenger

Posted On 03/03/2019

Ananiadis Vasilis 0

Αν και δεν έχει έχει ανακοινωθεί επίσημα από το Facebook, μπορείτε να ενεργοποιήσετε το Dark Mode στο Facebook Messenger, με έναν πολύ απλό τρόπο: Ανοίξτε μια συνομιλία σας με οποιαδήποτε επαφή σας στο Facebook Messenger και αποστείλτε το emoji του φεγγαριού (🌙). Αμέσως, θα σας εμφανιστεί …

10.1K

Netflix: Η λειτουργία των Έξυπνων Λήψεων (Smart Downloads) τώρα διαθέσιμη και για χρήστες iOS!

Posted On 08/02/2019

Ananiadis Vasilis 0

Το Netflix δίνει τώρα τη δυνατότητα και στους χρήστες iOS να χρησιμοποιούν τη λειτουργία Έξυπνων Λήψεων, η οποία διαγράφει ένα επεισόδιο αφότου ο χρήστης το έχει παρακολουθήσει και μετά αυτόματα κατεβάζει το επόμενο, μόλις η συσκευή συνδεθεί σε δίκτυο Wi-Fi. Η λειτουργία των Έξυπνων Λήψεων είναι διαθέσιμη για …

10.8K

Netflix: Νέα λειτουργία διαμοιρασμού σε Instagram Stories

Posted On 23/01/2019

Ananiadis Vasilis 0

Τώρα μπορείς να μοιραστείς απευθείας από το Netflix app την αγαπημένη σου σειρά ή ταινία στα Instagram Stories σου! Το νέο αυτό feature είναι τώρα διαθέσιμο για συσκευές iPhone, όπως και όλες τις συσκευές που χρησιμοποιούν λειτουργικό iOS. Σε όλους έχει τύχει να έχουμε κάποιον φίλο που να ζητάει …

12.1K

To Netflix καταργεί την πληρωμή νέων συνδρομών από την iOS εφαρμογή για να αποφύγει το “χαράτσι” της Apple

Posted On 03/01/2019

Elpidis Chris 0

Η Epic Games εξέφρασε τη δυσαρέσκεια της για το μοντέλο διανομής των κερδών στα Google Play Store, App Store και Steam πρώτα αποσύροντας τα παιχνίδια της και έπειτα με τη δημιουργία δικού της καταστήματος (Epic Games Store). Δεν είναι, όμως, …

Search

Editors

1000 εφαρμογές του App store έχουν σοβαρό κενό ασφαλείας. Μάθε αν κινδυνεύει το iPhone/iPad σου και τα δεδομένα σου!

Ananiadis Vasilis

More from Apps

Η εφαρμογή του Netflix για iPhone / iPad σταμάτησε να υποστηρίζει το AirPlay

Πώς να ενεργοποιήσετε το Dark Mode στο Facebook Messenger

Netflix: Η λειτουργία των Έξυπνων Λήψεων (Smart Downloads) τώρα διαθέσιμη και για χρήστες iOS!

Netflix: Νέα λειτουργία διαμοιρασμού σε Instagram Stories

To Netflix καταργεί την πληρωμή νέων συνδρομών από την iOS εφαρμογή για να αποφύγει το “χαράτσι” της Apple

Editor Picks

Σχετικά με την ανίχνευση πτώσης στο Apple Watch Series 4

Χρήση Καθοδηγούμενης πρόσβασης με το iPhone, το iPad και το iPod touch

Αναπαραγωγή ήχου σε πολλά ηχεία με το AirPlay 2

Σχετικά με το AirPlay και το AirPlay 2

Share