Cel puțin 76 dintre aplicațiile pentru iPhone, iPad și iPod touch au fost găsite recent ca fiind vulnerabile în fața unor posibile interceptări de date.
Directorul general al Sudo Security Group, Will Strafach, a anunțat într-o postare pe Medium că în urma unei scanări a codului cu programul web verify.ly a descoperit că destul de multe aplicații populare pentru platforma iOS nu folosesc protocolul Transport Layer Security (TLS).
Protocolul securizează comunicarea dintre client și server. Fără protecția lui, datele din aplicații (și nu numai) pot fi interceptate de către o terță persoană prin intermediul unor dispozitive speciale, cum ar fi telefoane inteligente modificate astfel încât să poată iniția atacuri de injectare a unor certificate TLS. Conform expertului, interceptarea prin metoda descrisă anterior este posibilă chiar dacă dezvoltatorii aplicațiilor cu probleme au optat pentru caracteristica Apple Securitate Transport Aplicație.
Adevărul este că acest tip de atac poate fi făcut de către orice parte din raza Wi-Fi în care se află dispozitivul tău, în timp ce îl utilizezi. Asta poate fi oriunde în public sau chiar la tine acasă, dacă atacatorul este în apropriere.
Nu există nicio rezolvare posibilă din partea Apple, deoarece dacă ei ar anula această funcționalitate în încercarea de a bloca această problemă de securitate, ar face unele aplicații iOS mai puțin sigure întrucât ele nu vor mai putea folosi țintuirea certificatelor pentru conexiunile lor, deci nu vor putea acorda încredere certificatelor nesigure care ar putea fi necesare în conexiunile intranet dintr-o întreprindere care folosește un PKI propriu. Din acest motiv, sarcina cade pe umerii dezvoltatorilor de aplicații, care trebuie să se asigure că aplicațiile lor nu sunt vulnerabile.
Printre aplicațiile găsite ca fiind vulnerabile se numără câteva foarte populare, cum ar fi cele pentru Snapchat (nu aplicația Snapchat oficială), aplicația oficială Vice News, și anumite aplicații de mobile banking ale unor bănci din Puerto Rico și Libya.
Expertul în domeniul securității a publicat în postarea sa doar o parte dintre cele 76 de aplicații găsite ca fiind vulnerabile, sortându-le pe categorii de risc (scăzut, mediu și ridicat). El a spus că nu va devoala numele aplicațiilor cu risc mediu și ridicat decât la 60-90 de zile de la momentul în care i-a anunțat pe dezvoltatori, oferind acestora timp să adreseze problemele.
În total, dezvoltatorul estimează că cele 76 de aplicații au generat la nivel global peste 18 milioane de descărcări.
Până când dezvoltatorii nu vor actualiza aplicațiile și rezolva problema de securitate, utilizatorii sunt sfătuiți să evite folosirea lor prin rețelele Wi-Fi, întrucât atacurile de acest tip prin rețelele celulare sunt mult mai dificile.