1500 ứng dụng iOS bị lỗi an ninh HTTPS do lỗi mã thư viện

Khoảng 1500 ứng dụng iOS đã chứa lỗ hổng an ninh để thực hiện cuộc tấn công Man-in-the-middle đơn giản do lỗi liên quan tới HTTPS trong thư viện được những ứng dụng trên sử dụng / Lỗi này có thể cho phép tin tặc đánh cắp thông tin cá nhân của người dùng , bao gồm chi tiết tài khoản ngân hàng .

Theo báo cáo do SourceDNA thực hiện , 1500 ứng dụng iOS đều dùng chung một thư viện mạng nguồn mở : AFNetworking 2.5.1 . Phiên bản lỗi của thư viện này được phát hành trong tháng Một năm nay và bản vá lỗi là 2.5.2 đã có mặt cách đây 3 tuần .

Lỗi liên quan tới cách thư viện AFNetworking thực hiện xác thực chứng thực SSL . Bản chất , chứng thực SSL không bao giờ được xác thực trong thư viện 2.5.1  . Điều đó có nghĩa là bất kì ai gửi chứng thực giả mạo tới ứng dụng đều được tự động chấp nhận .

Ví dụ ai đó thiết lập mạng Wi-Fi miễn phí trong quán café và sau đó đánh cắp thông tin tài khoản ngân hàng người dùng bằng SSL giả mạo khi người dùng sử dụng ứng dụng ngân hàng bị ảnh hưởng .

SourceDNA đã phân tích khoảng 1 triệu ứng dụng iOS trên App Store và phát hiện ra khoảng 1500 ứng dụng dùng AFNetworking 2.5.1 . Những ứng dụng này đã có hàng triệu lượt tải về , bao gồm các ứng dụng như Movies by Flixster, Alibaba.com, Amazon, OneDrive, và KYBankAgent. Nếu bạn không biết ứng dụng của mình có bị ảnh hưởng bởi lỗi trên hay không thì có thể tìm kiếm nó trong cơ sở dữ liệu của SourceDNA .

Theo TVTH1088

Advertisements

Posted on April 24, 2015, in Tin học and tagged . Bookmark the permalink. Leave a comment.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: