スマホ関連の海外ニュースです。
IOS モバイル銀行、医療、機密性の高いユーザー情報を取り扱うその他のアプリケーションの数十は、TLS トラフィックを受け取ることができます中間の攻撃に対して脆弱です。 76 須藤セキュリティ グループによって分析アプリ、19 金融リスクの高いと見なされますまたは医療資格情報または認証トークンはローカル ネットワークに存在する攻撃者によって吸い取らでした。 これらのアプリケーションはこの週末影響を受ける開発者に通知し始めた者によって示されなかった。CEO は Strafach 言った Threatpost ネットワー キング コード自己署名入りの証明書を受け入れる可能性が高い放置で開発者がデバッグ機能をアプリに含めます。ターンでは、アプリケーションでは、任意の自己署名入りの証明書を受け入れるし、攻撃者がトラフィック ストリームに独自の証明書を提示し、彼らの方法でおそらく安全データがリダイレクトされます。彼は昨日に発表されたレポートの影響を受ける危険性の低いアプリの名前します。媒体- および高リスクと考えられてそれらは彼らが公開される前に修正する 60、90 日間が、Strafach は言った。 「攻撃者できます独自の証明書は自己署名、中間のプロキシ ツールを設定して、カスタム証明書、中間の近くの任意の接続を提示、」Strafach は言った。「私が持っている最高の理論彼らは内部でステージング サーバー上アプリをテストできるように、アプリ開発者がコードに置くことです。内部サーバーはパブリック ネットワークで自己署名入り証明書を使用する必要があります彼らと私は彼らは、コードを削除するいないと思います。」 Strafach では、これはアップルがセキュリティの多くのアプリケーションで既に存在を壊すことがなく修正できるものではないと強調しました。たとえば、いくつかのカスタム アプリケーションはファイアウォールの背後に動作し、使用して、自己署名入りの証明書は信頼された証明書や公開鍵の内部セットに固定されています。IOS 9 および https で接続する力アプリで導入された Apple のアプリ トランスポートのセキュリティ機能は、この誤った構成に対して効果的だろう、Strafach は言った。ATS が TLS 証明書を参照してください、有効な TLS 接続としてこれらの接続を考慮してアプリの手で証明書の検証を置きます。 76 アプリの分析 (複合 1800 万ダウンロード)、33 ためにと見なされます低リスク、Strafach 氏の責任でデータのほとんどは、デバイス データや個人情報の限定セット。中程度のリスクを他の 2 つのダースと 19 はリスクが高いと彼は言った、個人的に資格情報または認証されたユーザーのセッション トークンを傍受する機能を確認します。 “これは本当に開発者が彼らを正しい得るかどうかを確かめる必要があることです。アップルは、これをブロックする場合それがより多くの問題を引き起こすアプリを安全性の低いまま、”Strafach と述べた。「開発者はアプリに入れているコードのレベルに注意する必要があります。彼らはこのコードを削除する注意していない場合、自己署名証明書を使用してアプリケーションをテストするのにはいる彼ら場合リスクをもたらす偉大なユーザーに。」 ユーザーは、どこに機密情報はパブリック ネットワークを介して送信されるこれらの攻撃のほとんどは Wi-Fi 経由起こるだろうと彼は言ったので状況で Wi-Fi を離れて転換によって妥協を避けることができます。Strafach は、携帯電話ネットワークを介してこの脆弱性はまだ存在攻撃はより複雑でより高価なリスク軽減、Wi-Fi 経由と述べた。 「修正変わっているでしょうちょうど 1 行または数行のコード、”Strafach と述べた。「全体的にそれに帰着するデバッグ コードを運用アプリケーションで作業持っていないことを確かめます。
続きを読む…
Popular iOS Apps Vulnerable to TLS Interception Attacks
Dozens of iOS mobile banking, medical and other applications handling sensitive user information are vulnerable to man-in-the-middle attacks where TLS traffic can be intercepted. Of the 76 apps analyzed by Sudo Security Group, 19 are considered high-risk where financial or medical credentials, or authentication tokens, could be siphoned off by an attacker on the local network. Those applications were not named by the researchers, who this weekend began notifying the affected developers.
Read more…
