Diera v knižnici AFNetworking umožňuje útočníkom prístup k citlivým informáciám.
Bezpečnostná firma SourceDNA identifikovala minulý mesiac bezpečnostné nedostatky v open-source knižnici AFNetworking. Niektorí vývojári na základe tohto varovania svoje aplikácie aktualizovali, iné sú zraniteľné aj dnes.
Zraniteľnosť umožňuje útočníkom pristupovať k informáciám, ktoré sú šifrované protokolom HTTPS. Útočníci však môžu zneužiť bezpečnostnú chybu iba v prípade, že dokážu „odpočúvať“ komunikáciu a vložiť do nej podvodný certifikát. Ten by bol za normálnych okolností označený za falošný a komunikácia by sa prerušila. Zariadenie však kvôli chybe certifikát prijme a pokračuje v odosielaní dát.
V praxi to znamená, že používatelia sú v ohrození najmä v prípade, keď používajú niektorú z aplikácií s bezpečnostnou chybou a sú pripojení do verejnej Wi-Fi siete, napr. v kaviarni. Pri používaní domácej, resp. dostatočne zabezpečenej Wi-Fi siete, by riziko hroziť nemalo.
Spoločnosť SourceDNA skontrolovala a analyzovala všetky aplikácie, ktoré sú dostupné v AppStore. Chybu našli aj v mnohých obľúbených službách. Priamy výpis „chybných“ aplikácií nie je k dispozícii, avšak konkrétne aplikácie si jednoducho skontrolujete pomocou webového nástroja.
Zdroj: CultOfMac
