Tcinet
13.03.2017, 14:48
Исследователь компании Sudo Security Уилл Стрэфек сообщил об обнаружении нескольких десятков iOS-приложений, которые допускают ошибки в шифровании данных. В результате этого пользователи оказываются уязвимы перед атакой по типу man-in-the-middle, а злоумышленники получают возможность перехватывать конфиденциальную информацию, включая, например, имена учетных записей и пароли.
Проблема коренится в ошибках программного кода, призванного подтверждать подлинность сертификатов протокола TLS, который и отвечает за защиту передаваемых данных. Эти ошибки потенциально позволяют использовать недействительные TLS-сертификаты. Уязвимости выявлены в 76 приложениях для iPhone и iPad, которые были загружены в общей сложности более 18 миллионов раз.
Уилл Стрэфек не называет конкретные приложения, чтобы не привлекать внимание хакеров. Он сообщил, что уже связался с разработчиками всех уязвимых программ и предоставил им срок от 60 до 90 дней на устранение уязвимостей – в зависимости от степени их опасности.
Проблема коренится в ошибках программного кода, призванного подтверждать подлинность сертификатов протокола TLS, который и отвечает за защиту передаваемых данных. Эти ошибки потенциально позволяют использовать недействительные TLS-сертификаты. Уязвимости выявлены в 76 приложениях для iPhone и iPad, которые были загружены в общей сложности более 18 миллионов раз.
Уилл Стрэфек не называет конкретные приложения, чтобы не привлекать внимание хакеров. Он сообщил, что уже связался с разработчиками всех уязвимых программ и предоставил им срок от 60 до 90 дней на устранение уязвимостей – в зависимости от степени их опасности.