В фeврaлe этoгo гoдa спeциaлист пo инфoрмaциoннoй бeзoпaснoсти Sudo Security Group Уилл Стрaфaк oбнaружил, чтo нeкoтoрыe пoпулярныe iOS-прилoжeния, шифрующиe информацию пользователей, делают это ненадлежащим образом. Речь шла о 76 приложениях для iPhone и iPad, уязвимых к атакам, позволяющим перехватывать данные. Оказалось, что спустя три месяца большая часть уязвимых приложения, включая мобильный банкинг, так и не избавилась от брешей безопасности.
Страфак пояснил, что несколько десятков приложений, включая банковские и медицинские, содержат опасную уязвимость. Из-за ошибок в связанном с передачей данных коде программы могут принимать недействительные сертификаты TLS. Протокол TLS используется для защиты информации, передаваемой приложением через интернет-соединение. Без него хакер может прослушивать трафик и без ведома пользователя перехватывать любые интересующие его данные, например, логины и пароли.
Логично предположить, что после такого открытия разработчики возьмутся за исправление бага. Некоторые из них действительно приняли меры, к примеру, HipChat и Foxit. Однако большинство так и не избавились от указанной уязвимости.
Большинство же приложений, хранящих важную личную информацию, по-прежнему подвержены взлому. В их числе банковские клиенты Emirates NBD, 21st Century Insurance, Think Mutual Bank и Space Coast Credit Union. В числе уязвимых указаны также веб-браузер Dolphin, приложение для диабетиков Diabetes in Check, а также программа, позволяющая жителем Индианы участвовать в голосовании.
«Подобные атаки может осуществить кто угодно, находящийся в зоне действия беспроводной сети Wi-Fi, пока вы пользуетесь вашим устройством. Атаки возможны в общественных местах или даже у вас дома, если атакующему удастся подобраться достаточно близко», – рассказал Страфак.
Пока нет подтверждения, что хакеры используют личные данные пользователей, хотя это вряд ли оправдывает бездействие разработчиков. В общей сложности, по данным эксперта, 76 исследуемых приложений были загружены 18 млн раз. Пользователям уязвимых программ Страфак рекомендует избегать публичных сетей Wi-Fi и пользоваться только мобильным интернетом.
]]>