1500 приложений для iOS подвержены серьезной уязвимости

В прошлом месяце исследователи сообщили о наличии уязвимости FREAK в криптографическом пакете OpenSSL, предназначенном для работы с протоколами SSL/TLS (Secure Sockets Layer/Transport Security Layer). Эта уязвимость целенаправленно создавалась в 90-х годах американскими производителями программного обеспечения, поставляющими свои продукты за границу. Благодаря ей можно вынудить приложения использовать 512-битные ключи шифрования вместо применяемых сейчас 2048-битных. В результате такие ключи можно взломать, запустив специальное ПО на публичных облачных сервисах.

iOS-vuln-2

Apple уже выпустила патч для своих операционных систем, однако обновления требуются также отдельным приложениям. Компания SourceDNA проанализировала каталог App Store и установила, что из рассмотренных приложений уязвимы около 1500. Часть из них использует стандартную библиотеку OpenSSL, другие – собственные версии.

По мнению исследователей, использование уязвимости FREAK несёт угрозу безопасности и приватности пользователей мобильных приложений. Уязвимость существует в приложениях множества категорий, включая финансы, коммуникации, покупки, бизнес, медицину. Для OpenSSL только за последний год это не первая найденная масштабная уязвимость: до неё были Heartbleed и POODLE.

iOS-vuln-1

Компания SourceDNA запустила собственный интернет-сервис, позволяющий определить наличие опасной уязвимости в приложениях. По словам исследователей, чаще всего атакам подвергаются мобильные клиенты, связанные с банковскими и другими финансовыми операциями. Кроме того, особый интерес для злоумышленников представляют медицинские и офисные приложения. Однако целью кибермошенников может стать и «угон» аккаунтов в Facebook, ВКонтакте и других социальных сетях.

Следите за новостями Apple в нашем Telegram-канале, а также в приложении MacDigger на iOS.

Присоединяйтесь к нам в Twitter, ВКонтакте, Facebook, Google+ или через RSS, чтобы быть в курсе последних новостей из мира Apple, Microsoft и Google.

2 комментариев

  • К примеру по VK и Telegram выдает High Priority Affected Apps т.е. приложения с приоритетным риском. Вот тебе и Дуров с его супернадежными системами
    • Да нет я думаю может он все это и хотел , но ему не дадут вот он и угнал . А может и наоборот вариантов куча .