スマホ関連の海外ニュースです。
影響を受ける一般的な SSL/TLS の構成ミス、攻撃者は同じネットワーク上なら彼らにユーザー データを盗むために 76 の iOS アプリのグループが見つかっています。脆弱なアプリの半分以上はうち 19 が銀行や金融、医療サービスのためのアプリ、ユーザー ログイン データを流出しました。 Verify.ly に勤める意志 Strafach は、彼のサービスを開発しながら脆弱なアプリを見つけた。Verify.ly は、一般的な問題を見つけるための iOS バイナリの自動分析を提供します。 この脆弱性は新しいものです。実際には、それは SSL/TLS の設定の基本的な設定ミスに依存し、様々 なアプリケーションとソフトウェアは以前同じ問題を持っているを発見されています。Strafach の研究は、Apptopia、モバイル アプリケーション市場に関するデータを提供する会社によると 76 の iOS アプリを組み合わせた 1800 万ダウンロードを受信するグループの中でまだ問題が解決しないことを示した。 この脆弱性は、中間の攻撃を使用して自己署名 SSL 証明書を提供して動作します。これは、攻撃者がサーバーになりすまして、ユーザーのアプリからデータを受信することができます。影響を受けるアプリケーションが正しく実装されていない証明書の検証を行うし、それ以外ない信頼すべき証明書を受け入れるためすべて可能です。 この攻撃は、あなたと同じネットワーク上の誰かによってのみ実行できます。つまり、公共の Wi-Fi ネットワークは、危険性はほとんどしかしパスワードは自動的に保護されていることを意味しないネットワークにいって。Strafach は、プロバイダー ネットワークが攻撃にはるかに困難です Wi-Fi をオフにして、携帯電話のセルの接続を使用してが示唆されました。 Strafach 分類として低、中、またはこの攻撃を使用するときに傍受される可能性がありますデータの種類によって、リスクの高い脆弱なアプリです。低リスクは、データがアプリと低値個人情報 (メール アドレス) のように固有であることを意味しました。中程度のリスク分類を意味する攻撃は、ログイン資格情報やセッション トークンを傍受される可能性があります。これらの資格情報は、金融や医療サービスとき、彼らは高リスクのカテゴリーに落ちた。 リスクの低いアプリのリストがリリースされているが、中・高リスクのアプリは、開発者に脆弱性を修正する時間を与えるため、少なくとも 60 日間源泉徴収されています。 影響を受けるアプリケーションが間違っていたり、破る「任意の [証明機関] で署名された信頼されたルート [証明機関] のデフォルトのストアを使用する代わりに、アプリケーションが任意の [証明書] を受け取れるように、設定されている既定の検証」の設定で、Strafach は、マザーボードを語った。 それはより多くのアプリケーションが同じミスを犯している可能性も受けます。ただし、既定ではアプリ弱くなりません。アプリの大半は影響を受けない可能性があります。 アップルは、大手の生態系を HTTPS にプッシュされています。そのアプリ トランスポート セキュリティ (ATS) 標準は、アプリケーションが HTTPS 接続を使用して、ユーザー データを保護する必要があります。ただし、ATS は、証明書の検証を必要としない、この脆弱性を防ぐことはできません。 これは、監督のように見えるかもしれませんが、アップルが ATS の一環として証明書の検証を厳密に施行される場合を作ったことはいくつかのアプリケーションとイントラネット接続またはプライベート Ca 使用不能に依存するサービス。 最後の数年間、ローカル ホスト名と IP アドレスを特定の種類の攻撃を防いだが、またこれらのケースで公的に信頼された証明書の使用を排除するために証明書を発行する証明機関を停止しました。皮肉にも、これらの制限より困難な SSL/TLS を実装するため、これらのアプリケーションに影響を与えるような脆弱性を作成する、不安定な慣行を採用するいくつかの開発者をリードします。
続きを読む…
Researcher Finds Financial and Medical iOS Apps Vulnerable
A group of 76 iOS apps have been found to be vulnerable to a common SSL/TLS misconfiguration which would allow an attacker to steal user data if they were on same network. More than half of the vulnerable apps leaked user login data, 19 of which were apps for banks or financial and medical services. Will Strafach, who works for verify.ly, found the vulnerable apps while developing his service. Verify.ly provides automated analysis of iOS binaries to find common problems. This vulnerability is not new.
Read more…
