SourceDNA, een codeanalyseplatform dat Android- en iOS-apps controleert, heeft onlangs een rapport uitgebracht waarin staat dat meer dan 1.000 iOS-apps een ernstige kwetsbaarheid voor de veiligheid hebben die de financiële gegevens van een gebruiker in gevaar zou kunnen brengen.
De bug voorkomt dat de apps SSL-certificaten correct verifiëren Wat is een SSL-certificaat en heeft u er een nodig? Wat is een SSL-certificaat en heeft u er een nodig? Surfen op het internet kan eng zijn wanneer het om persoonlijke gegevens gaat. Meer lezen, de apps openen voor een aantal man-in-the-middle-aanvallen. Hoewel deze app geen effect heeft op de beveiliging van iOS zelf. Smartphone-beveiliging: kunnen iPhones malware downloaden? Beveiliging van smartphones: kunnen iPhones malware krijgen? Malware die "duizenden" iPhones beïnvloedt, kan de App Store-inloggegevens stelen, maar de meerderheid van iOS-gebruikers is volkomen veilig - dus wat is de deal met iOS en malafide software? Meer lezen, het kan gebruikersgegevens die worden verzonden via getroffen apps in gevaar brengen ...
Een eenvoudige fout die SSL verbreekt
De betreffende bug zit in het AFNetworking-pakket, een populaire open-source netwerkoplossing die wordt gebruikt in duizenden App Store-apps. De bug is een eenvoudige logische fout die voorkomt dat de SSL-controle daadwerkelijk plaatsvindt en alle certificaatcontroles als geldig worden geretourneerd. Dit is geen gigantische veiligheidsramp zoals HeartBleed Heartbleed - Wat kan je doen om veilig te blijven? Heartbleed - Wat kunt u doen om veilig te blijven? Lees Meer of ShellShock Erger dan Heartbleed? Maak kennis met ShellShock: een nieuw beveiligingsrisico voor OS X en Linux erger dan Heartbleed? Maak kennis met ShellShock: een nieuw beveiligingsrisico voor OS X en Linux Lees meer - maar het is een probleem als u een app gebruikt die de bug bevat. Gelukkig bestond de bug slechts ongeveer zes weken, werd deze toegevoegd in 2.5.1 en gerepareerd in 2.5.2. Je zou redelijkerwijs kunnen aannemen dat dit het einde van het verhaal is.
Helaas niet.
Helaas houden veel ontwikkelaars hun apps niet actief up-to-date met bugfixes, en er zijn een aantal apps die nog steeds de gebroken versie van AFNetworking gebruiken, ondanks de beschikbaarheid van een patch. SourceDNA analyseerde 20.000 apps die versies van het AFNetworking-pakket bevatten en stelde vast dat ongeveer 1.000 nog steeds de verbroken SSL-controle gebruiken.
SourceDNA was in staat om deze controle uit te voeren door analytische hulpmiddelen te gebruiken die het mogelijk maken om de binaire bestanden van duizenden apps te analyseren. Met hun technologie kunnen ze niet alleen vaststellen met welke bibliotheken deze apps zijn gecompileerd, maar ook welke versies van die bibliotheken. Zoals blijkt, is dit ongelooflijk handig om te identificeren welke apps mogelijk worden beïnvloed door bekende bugs en kwetsbaarheden. Volgens het uitgebrachte papier,
"SourceDNA heeft een differentiële vingerafdruk van ze gemaakt om de kwetsbare code te vinden. Beschouw dit als een verzameling unieke kenmerken die alleen aanwezig of afwezig waren in de doelversie en niet andere vóór of erna. Met deze set handtekeningen zou onze analysemotor ons precies vertellen welke versie van AFNetworking in elke app werd gebruikt. “
Veel van de betrokken apps slaan gebruikerscreditcardgegevens op en verzenden deze, inclusief de mobiele app Alibaba.com, KYBankAgent 3.0 en Revo Restaurant Point of Sale. Meerdere miljoen gebruikers hebben een kwetsbare app geïnstalleerd op hun iOS-apparaat - een verbazingwekkende hoeveelheid blootstelling van zo'n korte bug.
"5% of ongeveer 1.000 apps hadden de fout. Zijn deze apps belangrijk? We vergeleken ze met onze ranggegevens en vonden enkele grote spelers: Yahoo !, Microsoft, Uber, Citrix, etc. Het verbaast ons dat een open-sourcebibliotheek die slechts zes weken lang een beveiligingsfout bevatte, miljoenen gebruikers blootstelde aan aanvallen. "
De impact van de AFNetworking-bug beoordelen
Hoe erg is deze kwetsbaarheid? De bug stelt aanvallers in staat om apps voor de gek te houden door te denken dat ze communiceren via een beveiligde verbinding met een vertrouwde server. Als je een kwetsbare app gebruikt, kan iedereen op hetzelfde wifi-netwerk een man-in-the-middle-aanval opzetten. Wat is een aanval van de mens in het midden? Beveiliging Jargon verklaarde wat een man-in-het-middenaanval is? Beveiliging Jargon uitgelegd Als je hebt gehoord van "man-in-the-middle" -aanvallen, maar niet helemaal zeker bent wat dat betekent, is dit het artikel voor jou. Lees meer en onderschep info van de apps, inclusief gevoelige gegevens zoals creditcardinformatie. Deze informatie kan dan worden gebruikt om identiteitsdiefstal te vergemakkelijken 6 Waarschuwingssignalen van digitale identiteitsdiefstal die u niet mag negeren 6 Waarschuwingssignalen van digitale identiteitsdiefstal die u niet mag negeren Identiteitsdiefstal is tegenwoordig niet al te zeldzaam, maar we vaak in de val trappen door te denken dat het altijd "met iemand anders" zal gebeuren. Negeer de waarschuwingssignalen niet. Lees meer en andere vormen van fraude. In potentie kan dit soort aanvallen worden geautomatiseerd om populaire apps te targeten.
Een aantal bedrijven hebben snel updates en fixes uitgebracht sinds het nieuws brak, inclusief Microsoft en Yahoo. De meeste apps blijven echter niet verzonden. Om te zien of de apps die u gebruikt, worden beïnvloed, kunt u de zoekfunctie van SourceDNA gebruiken. Als u ontdekt dat een van uw apps nog steeds kwetsbaar is, is de veiligste strategie om deze tijdelijk te verwijderen en de ontwikkelaars te laten weten dat ze zo snel mogelijk een patch moeten plaatsen.
SourceDNA is een slimme tool en dit toont aan dat hun technologie echt nuttig is. Computerbeveiliging is moeilijk en een tool die het proces van zoeken naar niet-herstelde bugs - met of zonder samenwerking met ontwikkelaars - kan automatiseren, is een enorme overwinning voor de gebruikersbeveiliging. Zonder dit soort controles zou deze wijdverspreide bug waarschijnlijk lang blijven bestaan. Dit soort analyse maakt massale publieke shaming mogelijk die ontwikkelaars veel meer verantwoordelijk maakt en het lijkt waarschijnlijk dat SourceDNA verdere onopgemerkte en onopgeloste problemen zal ontdekken.
Wordt uw iOS-apparaat getroffen door de AFNetworking-bug? Ben je enthousiast over deze nieuwe analysetools? Laat het ons weten in de reacties!
Afbeeldingscredits: "US Navy Cyberwarfare, " "iPhone front, " iPhone camera ", door Wikimedia