Khoảng 1500 ứng dụng IOS có lỗ hổng bảo mật bởi sử dụng AFNetworking

Khoảng 1500 ứng dụng IOS bao gồm cả một số ứng dụng phổ biến từ Microsoft, Yahoo, và Uber rất dễ bị nhòm ngó bởi tin tắc nhằm khai thác lỗ hổng bảo mật khi người dùng sử dụng các ứng dụng này.

AFNetworking Version 2.5.3

Lỗ hổng này được tím thấy trong mã nguồn thư viện AFNetworking đã được đưa ra vào cuối tháng trước, sáu tuần sau khi nó được phát hiện bởi các nhà nghiên cứu an ninh mạng tại SourceDNA. Tuy nhiên, trong khi các lỗ hổng được vá, nhiều nhà phát triển ứng dụng vẫn chưa cập nhật phiên bản AFNetworking Version 2.5.2 (phiên bản mới nhất hiện nay AFNetworking Version 2.5.3).

SourceDNA nói, phiên bản 2.5.1 của thư viện mã nguồn chứa mội lỗi cho phép tin tắc bỏ qua các xác nhận kỹ thuật số trên các kết nối được mã hóa. Điều này có nghĩa, tin tặc có thể dễ dàng thực hiện một cuộc tấn công như hoạt động nghe lén, truy cập dữ liệu riêng tư, nhạy cảm được lưu trữ trong các ứng dụng, hình thức này được gọi là Man-in-the-middle viết tắt MITMA.

“Do thiếu các xác thực chứng nhận SSL, kẻ tấn công dễ dàng xem tất cả thông tin của người dùng ứng dụng và khai thác toàn bộ ngân hàng dữa liệu” – Theo SourceDNA.

Trong khoảng 1,4 triệu ứng dụng trên App Store, công ty an ninh mạng cho biết, khoảng 100.000 ứng dụng sử dụng AFNetworking. Tuy nhiên, không phải tất cả các ứng dụng đó đều dễ bị tấn công của tin tặc. Say khi quét các lỗ hổng, SourceDNA cho biết hơn một nửa, khoảng 55% trong số 100.000 ứng dụng sử dụng AFNetworking 2.5.0.

Thống kê có hơn 40 phần trăm các ứng dụng không sử dụng SSL API, họ lọc ra được có khoảng 1500 ứng dụng dễ bị tin tặc khai thác nhất. Con số này không đáng kể so với số lượng ứng dụng có sẵn trong App Store nhưng đáng lưu ý là nó có trả các trong ứng dụng nổi tiếng của tập đoàn lớn như OneDrive bởi Microsoft, Yahoo Finance và ứng dụng Uber đang được sử dụng nhiều nhất hiện nay.

Tính đến chiều thứ ba, SourceDNA nói các nhà phát triển vẫn chưa phát hành bản sữa lôi cho IOS của họ, mặc dù AFNetworking 2.5.2 đã được phát hành một tháng trước đây.

CÓ THỂ BẠN QUAN TÂM

Leave a Reply

Your email address will not be published.