Skelbimas

„SourceDNA“, kodų analizės platforma, kuri tikrina „Android“ ir „iOS“ programas, neseniai išleido ataskaitą, kurioje nurodo kad daugiau nei 1 000 „iOS“ programų yra rimtas saugos pažeidžiamumas, kuris gali pakenkti vartotojo finansinėms problemoms detalės.

Triktis neleidžia teisingai patvirtinti programų SSL sertifikatai Kas yra SSL sertifikatas ir ar jums jo reikia?Naršymas internete gali būti baisus, kai naudojama asmeninė informacija. Skaityti daugiau , atverdami programas daugybei „viduryje žmogaus“ esančių atakų. Nors ši programa neturi įtakos pačios „iOS“ saugumas Išmaniųjų telefonų sauga: ar „iPhone“ gali gauti kenkėjiškų programų?Kenkėjiška programinė įranga, paveikianti „tūkstančius“ „iPhone“ telefonų, gali pavogti „App Store“ kredencialus, tačiau dauguma „iOS“ vartotojų yra visiškai saugūs - taigi, ką daryti su „iOS“ ir nesąžininga programine įranga? Skaityti daugiau , tai gali pakenkti vartotojo duomenims, perduodamiems per paveiktas programas ...

Paprasta klaida, kuri sulaužo SSL

iphonefront

aptariama klaida yra „AFNetworking“ pakete, populiariame atvirojo kodo tinklo sprendime, naudojamame tūkstančiuose „App Store“ programų. Triktis yra paprasta loginė klaida, dėl kurios SSL tikrinimas faktiškai nevyksta, o visi sertifikatų patikrinimai galioja. Tai nėra tokia didžiulė saugumo katastrofa kaip Širdies kraujas Širdies plakimas - ką galite padaryti, kad išliktumėte saugūs? Skaityti daugiau arba „ShellShock“ Blogiau nei širdgėla? Susipažinkite su „ShellShock“: nauja saugumo grėsmė „OS X“ ir „Linux“ Skaityti daugiau - bet tai yra problema, jei naudojate programą, kurioje yra klaidos. Laimei, klaida egzistavo tik maždaug šešias savaites, buvo pridėta 2.5.1 punkte ir ištaisyta 2.5.2 punkte. Galite pagrįstai manyti, kad tai yra istorijos pabaiga.

Deja, ne.

Deja, daugelis kūrėjų aktyviai neatnaujina savo programų su klaidų taisymais, ir yra krūva programų, kurios vis dar naudoja sugadintą „AFNetworking“ versiją, nepaisant to, kad yra pleistras. „SourceDNA“ išanalizavo 20 000 programų, kuriose yra „AFNetworking“ paketo versijos, ir nustatė, kad apie 1000 vis dar naudoja sugadintą SSL patikrinimą.

iphoneback

SourceDNA sugebėjo atlikti šį patikrinimą naudodama analizės įrankius, kurie leidžia analizuoti dvejetainius failus iš tūkstančių programų. Jų technologija leidžia ne tik nustatyti, kuriose bibliotekose šios programos buvo sudarytos, bet kuriose versijos iš tų bibliotekų. Kaip paaiškėja, tai yra nepaprastai naudinga norint nustatyti, kurioms programoms gali turėti įtakos žinomos klaidos ir pažeidžiamumai. Remiantis išleistu dokumentu,

„SourceDNA“ sukūrė diferencinį pirštų atspaudą, kad surastų pažeidžiamą kodą. Pagalvokite apie tai kaip apie unikalių savybių rinkinį, kurio buvo arba jo nebuvo tik tikslinėje versijoje, o ne apie kitus prieš tai ar po jo. Turėdamas šį parašų rinkinį, mūsų analizės variklis tiksliai pasakys, kuri „AFNetworking“ versija buvo naudojama kiekvienoje programoje.

Daugelis paveiktų programų saugo ir perduoda vartotojo kredito kortelių duomenis, įskaitant Alibaba.com mobilioji programa, „KYBankAgent 3.0“ir „Revo“ restorano pardavimo vieta. Keli milijonai vartotojų savo „iOS“ įrenginyje yra įdiegę pažeidžiamą programą - stulbinantis tokios trumpos klaidos poveikis.

„5% arba maždaug 1000 programų turėjo trūkumų. Ar šios programos yra svarbios? Palyginome juos su rango duomenimis ir radome keletą stambių žaidėjų: „Yahoo!“, „Microsoft“, „Uber“, „Citrix“ ir kt. Tai mus stebina, kad atviro kodo biblioteka, turinti saugumo trūkumą, veikė tik 6 savaites milijonai vartotojų pulti “.

Įvertinimas „AFNetworking“ klaida

Kuo blogas šis pažeidžiamumas? Dėl klaidos užpuolikai gali apgauti programas manydami, kad jie palaiko saugų ryšį su patikimu serveriu. Jei naudojate pažeidžiamą programą, visi, esantys tame pačiame „WiFi“ tinkle, kaip galite nustatyti a žmogaus vidurio puolimas Kas yra vidurio puolėjas? Saugumo žargonu paaiškintaJei girdėjote apie „vidurio žmogaus“ išpuolius, bet nesate tikri, ką tai reiškia, šis straipsnis skirtas jums. Skaityti daugiau ir perimti informaciją iš programų, įskaitant neskelbtinus duomenis, pvz., kredito kortelės informaciją. Ši informacija galėtų būti naudojama palengvinti tapatybės vagystės 6 įspėjantys skaitmeninės tapatybės vagystės ženklai, kurių neturėtumėte ignoruotiAsmens tapatybės vagystė šiais laikais nėra labai retas atvejis, tačiau dažnai patenkame į spąstus galvodami, kad tai visada nutiks „kažkam kitam“. Neignoruokite įspėjamųjų ženklų. Skaityti daugiau ir kitos sukčiavimo formos. Potencialiai toks išpuolis gali būti automatizuotas, kad būtų nukreiptos į populiarias programas.

081203-N-2147L-390

Po naujienų paskelbimo nemažai kompanijų, įskaitant „Microsoft“ ir „Yahoo“, skubėjo atnaujinti ir taisyti pataisas. Vis dėlto dauguma programų liko nepateiktos. Norėdami pamatyti, ar tai neturi įtakos jūsų naudojamoms programoms, galite naudoti paieškos įrankį „SourceDNA“. Jei pastebėsite, kad viena iš jūsų programų vis dar pažeidžiama, saugiausia yra laikinai ją ištrinti ir praneškite kūrėjams, kad jie kuo greičiau pateiktų pataisą.

„SourceDNA“ yra protingas įrankis, ir tai rodo, kad jų technologija yra tikrai naudinga. Kompiuterio saugumas yra sunkus, o įrankis, galintis automatizuoti nepašalintų klaidų ieškojimo procesą - su kūrėjo bendradarbiavimu ar be jo - yra didžiulė nauda vartotojui. Neatlikus tokio patikrinimo, ši plačiai paplitusi klaida būtų išlikusi tikriausiai gana ilgai. Tokia analizė įgalina masinį visuomenės sugėdinimą, dėl kurio kūrėjai tampa daug labiau atskaitingi, ir panašu, kad „SourceDNA“ atskleis dar neaptinkamas ir neišspręstas problemas.

Ar jūsų „iOS“ įrenginį paveikė „AFNetworking“ klaida? Jus jaudina šios naujos analizės priemonės? Praneškite mums komentaruose!

Vaizdo kreditai: „JAV karinio jūrų laivyno kibernetinis karas“,„ IPhone “priekyje“„iPhone“ kamera, „Wikimedia“

Rašytojas ir žurnalistas, įsikūręs Pietvakariuose, garantuoja, kad Andre išliks funkcionalus iki 50 laipsnių Celsijaus ir yra atsparus vandeniui iki dvylikos pėdų gylio.